O Python Package Index (PyPI) anunciou um novo sistema de arquivamento de projetos, projetado para fortalecer a segurança da cadeia de suprimentos no ecossistema de software open-source. Com essa novidade, os mantenedores podem arquivar pacotes, sinalizando que não haverá mais atualizações, evitando que usuários dependam de software desatualizado e possivelmente vulnerável.
Como funciona o arquivamento de projetos?
Com a nova funcionalidade, os projetos arquivados continuam disponíveis para download no PyPI, mas exibem um aviso indicando seu status. Isso permite que desenvolvedores tomem decisões mais informadas sobre suas dependências, reduzindo riscos associados ao uso de pacotes sem manutenção.
De acordo com o TrailofBits, responsável pelo desenvolvimento do recurso, o sistema oferece um status controlado pelo mantenedor, permitindo que ele marque um projeto como arquivado e informe que não haverá mais suporte ou correções futuras. Embora seja recomendado que os desenvolvedores lancem uma última versão com informações sobre o arquivamento, isso não é obrigatório.
Caso um mantenedor decida retomar um projeto, ele pode desarquivá-lo facilmente. O mecanismo usa o modelo LifecycleStatus, originalmente criado para quarentena de projetos, permitindo a transição entre diferentes status de manutenção.
Impacto na segurança e prevenção de ataques
O novo sistema também tem como objetivo reduzir os ataques de sequestro de pacotes abandonados, uma tática comum entre invasores. Quando um projeto é deixado sem suporte, atacantes podem assumir o controle e distribuir versões maliciosas anos depois. Com a sinalização clara de projetos arquivados, os desenvolvedores são incentivados a buscar alternativas mais seguras.
Além disso, alguns desenvolvedores optam por excluir pacotes quando encerram o suporte, o que pode levar a problemas como ataques Revival Hijack. O arquivamento de projetos surge como uma solução intermediária que melhora a segurança sem remover o histórico do software.
Novos status e futuras melhorias
O TrailofBits também revelou planos para expandir os status de projeto, adicionando categorias como “obsoleto”, “recurso concluído” e “sem manutenção”, oferecendo uma comunicação ainda mais precisa para a comunidade. Com essas melhorias, o objetivo é aumentar a transparência no ecossistema open-source, reduzindo as incertezas sobre a continuidade de projetos.
A iniciativa do PyPI representa um avanço significativo na segurança digital, proporcionando um método eficaz para alertar os usuários sobre o status de pacotes, evitando dependências em software desatualizado e potencialmente perigoso.