PyPI додає архівацію проектів для боротьби зі шкідливими оновленнями

Індекс пакетів Python (PyPI) отримав нову функцію Project Archival (Архівація проектів). Вона дозволяє розробникам архівувати свої проекти, вказуючи іншим користувачам, що оновлень більше очікувати не варто. Про це повідомляє Bleeping Computer з посиланням на блог PyPI.

Архівні проекти з кодом все ще розміщуватимуться в каталозі PyPI. Архівація не видаляє проект з індексу та не заважає користувачам його інсталювати. Але вони бачитимуть попередження про стан обслуговування. Якщо проект має статус архівного, це чітко вказує на те, що в майбутньому не слід очікувати жодних виправлень безпеки чи обслуговування.

Нова функція має  на меті покращити безпеку ланцюжка поставок, оскільки викрадення облікових записів розробників і просування шкідливих оновлень все ще становить велику загрозу. Архівація також зменшить кількість запитів на підтримку від користувачів, оскільки це надає всім чітке повідомлення про статус життєвого циклу проекту.

PyPI рекомендує супроводжувачам (мейнтейнерам) випустити остаточну версію перед архівуванням проекту, щоб включити деталі та пояснення щодо причини архівування проекту, хоча це не є обов’язковим.

При потребі супроводжуючі можуть розархівувати свій проект у будь-який час, якщо вони вирішать відновити роботу над ним.

Блог PyPI повідомляє, що незабаром для проектів планується додати більше статусів: «застарілий», «функція завершена» та «необслуговуваний», щоб користувачі мали більш чітке уявлення про стан проекту.