Python-programmeertaal: 'Geavanceerde beveiligingsfuncties' helpen kwaadaardige PyPI-pakketten te blokkeren

Python eet de wereld op: hoe een project van een ontwikkelaar de populairste programmeertaal werd Gefrustreerd door tekortkomingen in de programmeertaal, creëerde Guido van Rossum Python. Met de taal die nu door miljoenen wordt gebruikt, praat Nick Heath met van Rossum over het verleden van Python en onderzoekt wat de toekomst biedt.

Moet ontwikkelaarsinhoud lezen

  • Java en JavaScript domineerden softwareontwikkeling in de jaren 2010
  • Hoe ontwikkelaar te worden: een spiekbriefje
  • 10 manieren om doorbranden van ontwikkelaars te voorkomen (gratis PDF)
  • Python eet de wereld op: hoe een project van een ontwikkelaar de populairste programmeertaal op de planeet werd

De Python Software Foundation heeft onthuld dat in december zal worden begonnen met het toevoegen van "geavanceerde beveiligingsfuncties" aan de Python Package Index (PyPI).

PyPI is de officiële repository van pakketten van derden voor de populaire programmeertaal Python en host softwarebibliotheken die miljoenen keren per maand worden gedownload.

Er zijn echter gevallen geweest waarin ontwikkelaars schadelijke code verbergen in pakketten die worden gehost op PyPI. Vorige maand identificeerde een beveiligingsonderzoeksbureau drie bibliotheken die op PyPI werden gehost en die een verborgen achterdeur bevatten, met 12 vergelijkbare kwaadaardige Python-bibliotheken die het jaar ervoor in de service waren ontdekt.

De Python Software Foundation (PSF) heeft de omvang van de uitdaging geschetst die het uitvoeren van PyPI met zich meebrengt.

"PyPI voegt tienduizenden nieuwe releases toe aan de projecten die worden gehost in de repository en duizenden nieuwe projecten maandelijks", schrijft de stichting.

"Er zijn regelmatig lopende pogingen van slechte actoren om releases en artefacten te uploaden die kwaadaardige payloads bevatten, hetzij in setup.py-bestanden of in de inhoud van het pakket zelf.

"Bovendien proberen spam- en oplichters soms projecten te maken met verwijzingen en links naar zoekindexen en gebruikers."

De stichting zegt dat het PyPI-team slechts beperkte middelen heeft om moderatie uit te voeren en momenteel afhankelijk is van communityrapporten om kwaadwillige uploads en spam-berichten te markeren.

Hiertoe overlegt de PSF over een nieuw project om een ​​betere manier voor gebruikers te ontwikkelen om de integriteit van pakketten die zijn gedownload van PyPI te verifiëren, via verifieerbare cryptografische ondertekening van artefacten. Het project omvat ook de ontwikkeling van een systeem voor het automatiseren van de detectie van kwaadaardige pakketten die zijn geüpload naar PyPI, en documentatie van deze nieuwe PyPI-functies.

Het 'Verzoek om informatie' is ontworpen om de gemeenschap en potentiële contractanten in staat te stellen ideeën te bespreken en de reikwijdte en definitie van het project te verbeteren. Deze raadpleging loopt tot 18 september en wordt gevolgd door een aanvraag tot het indienen van voorstellen, waar aannemers zullen bieden om de werkzaamheden uit te voeren.

Het project zal naar verwachting tot $ 65.000 kosten, waarbij Facebook geld aan de PSF doneert om de verbeteringen te helpen betalen.
Het werk zal naar verwachting in december 2019 van start gaan en het duurt drie tot vijf maanden om het te voltooien.

De verbeteringen zullen de miljoenen ontwikkelaars ten goede komen die de taal gebruiken. De onstuitbare stijging van Python wordt algemeen erkend - grotendeels gevoed door het gebruik ervan voor machine learning - waarvan sommigen voorspellen dat het misschien wel de meest populaire programmeertaal ter wereld wordt, als het zijn beperkingen kan overwinnen.

Als je meer wilt weten over Python, bekijk dan de startersgids van TechRepublic.

Innovatie nieuwsbrief

Wees op de hoogte van slimme steden, AI, Internet of Things, VR, AR, robotica, drones, autonoom rijden en meer van de coolste technische innovaties. Geleverd op woensdag en vrijdag

Schrijf je vandaag in

Zie ook

  • Hoe ontwikkelaar te worden: een spiekbriefje (TechRepublic)
  • DevOps implementeren: een handleiding voor IT-professionals (gratis PDF) (TechRepublic)
  • Cheatsheet voor telefonische interviews: softwareontwikkelaar (TechRepublic Premium)
  • Programmeertalen: ontwikkelaars onthullen meest geliefde, meest gehate, wat het beste betaalt (ZDNet)
  • Er is werk voor nodig om uw gegevens online privé te houden. Deze apps kunnen helpen (CNET)
  • Programmeertalen en carrièrebronnen van ontwikkelaars (TechRepublic op Flipboard)

© Copyright 2020 | mobilegn.com