Google financia projetos para aumentar segurança do Python

Google financia projetos para aumentar segurança do Python
python logo

A linguagem de programação Python receberá uma ajuda inesperada do Google que financia projetos para aumentar a segurança desta linguagem. Ela é extremamente importante para o Google Cloud e, portanto, para os usuários. Além disso, também é usado pelo gigante dos mecanismos de pesquisa internamente para alimentar muitos de seus principais produtos e serviços.

Agora, o Google está fazendo uma doação de US$ 350.000. Assim, vai apoiar alguns projetos da Python Software Foundation (PSF) que visam melhorar a segurança da cadeia de suprimentos do ecossistema Python.

O PSF é a organização sem fins lucrativos que oferece suporte à linguagem de programação. Ela agora está mais popular do que Java, de acordo com alguns rankings de popularidade. 

Python é importante para cientistas de dados graças a complementos como o NumPy. Entretanto, é tem menor uso em aplicativos móveis e desenvolvimento de aplicativos da web, onde JavaScript e TypeScript brilham.  

Google financia projetos para aumentar segurança do Python e do Google Cloud

suporte adicional do Google para PSF tem como alvo três áreas. Inclui a interrupção da distribuição de malware por meio do Python Package Index (PyPI). Este é um repositório oficial do PSF de complementos de software para Python.  

O suporte inclui:

  • detecção de malware para PyPI;
  • melhorias nas ferramentas e serviços centrais do Python;
  • e a contribuição de uma função de desenvolvedor residente CPython (Core Python) para 2021. 

A função é em tempo integral e tem como objetivo ajudar o projeto CPython a priorizar a manutenção e resolver seu acúmulo de problemas.

O Python Steering Council e a Python Software Foundation trabalharão juntos. Objetivo é contratar um desenvolvedor para ajudar o CPython a priorizar tarefas e entender como o backlog pode ter uma solução. 

O desenvolvedor também pesquisará os mantenedores. Assim, espera obter uma imagem melhor do CPython. Ele servirá para garantir que o financiamento futuro e as horas de voluntariado sejam alocadas de forma eficaz. 

Como PSF explica, os fundos extras de patrocínio do Google servirão ??para lidar com “melhorias críticas de segurança da cadeia de suprimentos, incluindo o desenvolvimento de detecção de malware productized para PyPI, um protótipo de infraestrutura de análise dinâmica para distribuições e outras melhorias de ferramentas fundamentais.”

Ataques hackers

Ataques à cadeia de suprimentos de distribuição de software começaram a se concentrar. Isso depois que a fabricante de software empresarial SolarWinds foi hackeada por supostos invasores russos. Os invasores exploraram suas atualizações de software de monitoramento de infraestrutura Orion para plantar uma porta dos fundos em organizações de interesse. 

Contudo, os pacotes Python também servem ??para distribuir malware visando o setor financeiro.  

O Google patrocina o PSF desde 2010 e se torna o primeiro “patrocinador visionário” da linguagem de código aberto. No entanto, o Python surgiu em 1989 pelas mãos de Guido van Rossum. Ele voltou da aposentadoria no ano passado para trabalhar para as equipes de código aberto da Microsoft. Anteriormente, ele comandou os esforços de Python no Dropbox. Van Rossum deixou o cargo de Benevolent Dictator for Life (BDFL) do Python em 2018.

Outros patrocinadores importantes do Python incluem:

Salesforce, Fastly, Bloomberg e Microsoft Azure. 

O Google também está doando a infraestrutura do Google Cloud ao PSF para dar suporte às operações do PSF, como o índice de pacotes Python.

O Google Cloud nos deu acesso a acordos de peering essenciais por meio do Cloud Storage. Eles nos permitem atender a downloads PyPI de maneira econômica. E, ao mesmo tempo, administrar bem os recursos limitados que temos de outros provedores de infraestrutura. Foi o que disse Ee Durbin, diretor de infraestrutura da Python Software Foundation. 

Publicar as análises do PyPI como um conjunto de dados público no BigQuery reduziu a carga de suporte e gerenciamento de acesso a informações que se provaram essenciais para os mantenedores das bibliotecas, bem como para a equipe que mantém o PyPI online, acrescentou Durbin. 

ZDNet