Una de las características más apreciadas de Python es su amplia biblioteca. Pues bien, PyPI es el repositorio oficial de paquetes de terceros para el popular lenguaje de programación Python y aloja bibliotecas de software que se descargan millones de veces al mes.
Sin embargo, ha habido casos de desarrolladores que ocultan código malicioso en paquetes alojados en PyPI. De hecho, según se informó, una firma de investigación de seguridad avanzada de python identificó tres bibliotecas alojadas en PyPI que contienen una puerta trasera oculta, con 12 bibliotecas de Python igualmente maliciosas descubiertas.
Por esa razón y muchas otras más no menos importantes, es que te recomendamos este curso de python profesional, el cual lo imparten de manera presencial o en linea, con instructores expertos en este lenguaje de programación.
En este contexto, la Python Software Foundation (PSF) ha delineado la escala del desafío que representa ejecutar PyPI. Esta librería agrega decenas de miles de nuevas versiones en los proyectos alojados en el repositorio y miles de nuevos proyectos mensualmente, según dice la fundación.
Hay intentos regulares y continuos por parte de los malos actores de cargar versiones y artefactos que incluyen cargas útiles maliciosas, ya sea en archivos setup.py (que es el ejecutable de Python) o dentro del contenido del paquete. Además, el spam y los estafadores a veces intentan crear proyectos que incluyen referencias y enlaces para engañar a los índices de búsqueda y a los usuarios.
La fundación dice que el equipo de PyPI solo tiene recursos limitados para llevar a cabo la moderación y actualmente confía en los informes de la comunidad para ayudar a marcar cargas maliciosas y publicaciones de spam. Con este fin, la PSF está consultando sobre un nuevo proyecto para desarrollar una mejor manera para que los usuarios verifiquen la integridad de los paquetes descargados de PyPI, mediante la firma criptográfica verificable de artefactos. El proyecto también incluiría el desarrollo de un sistema para automatizar la detección de paquetes maliciosos cargados en PyPI y la documentación de estas nuevas características de PyPI.
En primera instancia, se realizó una 'Solicitud de información' que estaba diseñada para permitir que la comunidad y los contratistas potenciales discutieran ideas para mejorar el alcance y la definición del proyecto. Esta consulta se extendió un tiempo considerable y fue seguida de una Solicitud de Propuestas, donde los contratistas presentaron una oferta para realizar la obra.
Se estima que el proyecto costó hasta $65,000 dólares americanos y Facebook donaría parte del dinero al PSF para ayudar a pagar las mejoras. Las mejoras beneficiarán a los millones de desarrolladores que utilizan el lenguaje. El imparable aumento de Python es ampliamente reconocido, en gran parte impulsado por su uso para el aprendizaje automático, y algunos predicen que puede convertirse en el lenguaje de programación más popular del mundo, si puede superar sus limitaciones.
Es un hecho que más de una empresa están interesadas en el desarrollo de librerías más seguras, pues esto contribuye a la propia seguridad avanzada de python de cada desarrollo. Esto contribuye significativamente a que Python sea un lenguaje tan popular. Además, se convierte en una propuesta muy rentable para los programadores, pues podrán realizar proyectos más rentables para ellos y sus clientes.
Diseño Web Grupo Codesi