Python 套件索引庫(PyPI)維護團隊推出新功能,讓開發者能將套件標記為封存狀態,藉此強化軟體供應鏈安全。
維護者可將專案標記為封存狀態,清楚告知使用者該專案已停止更新。這項功能讓開發者能輕易辨識不再維護的 Python 函式庫,這些套件將不會再收到安全性修補或功能更新。即便套件被設為封存狀態,使用者仍可在 PyPI 上下載並使用它們。
此外,維護團隊正考慮增加更多狀態選項,以便有效地向下游使用者傳達專案現況。
PyPI 建議套件開發者在封存前先發布最終版本,並於專案說明中更新警示訊息和提供替代方案。在此功能推出之前,PyPI 已實施專案隔離機制,讓管理員可標記可疑專案並防止安裝,藉此降低資安風險。
2024 年 11 月,PyPI 管理團隊針對 Python 套件 aiocpa 啟動隔離機制,原因是其更新版本包含惡意程式碼,會透過 Telegram 竊取使用者私鑰。自 2024 年 8 月以來,已有約 140 個專案被隔離並移除,僅有一個例外。
延伸閱讀:Python 套件庫驚現惡意程式!aiocpa 透過 Telegram Bot 竊取用戶加密金鑰
PyPI 管理員表示,此隔離狀態為使用者建立更安全的環境,既可快速阻擋可疑套件,也能進行深入調查。由於從 PyPI 移除專案是不可逆的行為,隔離機制讓管理員在發現誤判時可以還原專案,並保留完整的歷史紀錄與後設資料。
本文轉載自 TheHackerNews。