PyPI, uradni register odprtokodnih paketov Python, je do nadaljnjega ustavil prijavo novih uporabnikov in nalaganje novih projektov na platformo. Razlog? (Pre)velik pritok zlonamernih uporabnikov in paketov.
Registri uporabne programske kode so eno od nepogrešljivih orodij razvijalcev, saj omogočajo, da ti ne »izumljajo tople vode«, s tem pa se lahko krepko pospeši razvoj projektov, hkrati pa poveča njihova zanesljivost in varnost. Predpogoj za to pa je, da je programska koda, do katere nudijo dostop, dejansko varna. In kdo testira to varnost? Običajno skrbniki oziroma lastniki repozitorija/indeksa. In tu lahko pride to težav, kot se je to zgodilo skrbnikom Python Package Index (PyPI). Dotok zlonamerne programske kode se je v mesecu maju tako povečal, da jim je ne uspeva več odkrivati in preprečevati, zato so do nadaljnjega prekinili prijavo novih članov in dodajanje nove kode.
»Registracija novih uporabnikov in novih imen projektov na PyPI je začasno prekinjena,« je zapisano v obvestilu o incidentu, ki so ga administratorji PyPI objavili 20. maja. »Število zlonamernih uporabnikov in zlonamernih projektov, ustvarjenih v indeksu v zadnjem tednu, je preseglo našo zmožnost pravočasnega odziva, še posebej, ker je več skrbnikov PyPI na dopustu.« Čeprav upravitelji registra niso razkrili natančnih krivcev (zlonamernih akterjev in imen projektov), zaradi katerih so zamrznili nove registracije v platformi, pričakujejo, da bo preventivna poteza odvrnila tovrstno početje, dokler ne bodo našli trajnejše rešitve.
Na žalost je to naša nova stvarnost…
Nedavni komentarji