La Python Software Foundation, con el respaldo del proyecto Alpha-Omega de la Open Source Security Foundation, ha estado trabajando activamente en la seguridad del ecosistema Python. Una de las iniciativas clave es abordar el problema de las "dependencias fantasma" en el código abierto. Estas dependencias, que no se rastrean con metadatos de empaquetado, manifiestos o archivos de bloqueo, representan un desafío significativo para las herramientas de escaneo de vulnerabilidades y las herramientas de cumplimiento.
Seth Larson, el Security Developer-in-Residence de Python, ha propuesto una solución a través de la Python Enhancement Proposal (PEP) 770. Esta propuesta ofrece una manera sencilla para que los paquetes proporcionen metadatos a través de las listas de materiales de software (SBOMs). La PEP 770 es compatible con versiones anteriores y puede ser habilitada por defecto por las herramientas, lo que facilita su adopción generalizada.
Python no es el único ecosistema de software afectado por las dependencias fantasma. El enfoque que utiliza SBOMs para los metadatos puede ser adaptado por otros ecosistemas de empaquetado que busquen registrar metadatos de software agnósticos del ecosistema. Python se ve particularmente afectado debido a su capacidad para interactuar con software no Python a través de la C-API o FFI, su prominencia en la computación científica e inteligencia artificial, y su tipo de distribución "wheel", que permite la inspección antes de la instalación, pero requiere que los lenguajes compilados se precompilen en binarios. Al diseñar el nuevo estándar de metadatos, se priorizó la reducción del esfuerzo requerido por los mantenedores voluntarios y los proyectos en el Python Package Index. Al definir los metadatos de la PEP 770 SBOM como un directorio de archivos, se simplificó la implementación. El objetivo es mejorar la medición de los paquetes Python y reducir el impacto de las d ependencias fantasma en el ecosistema.
Artículos relacionados de LaRebelión:
- Solucion NYT Strands Hoy Pistas y Respuestas para el Juego del 10 de Agosto - Descubre la Solu...
- Convierte las Fotos de tu Mascota en Emojis Personalizados en tu iPhone Guia Paso a Paso
- Necesitas Reciclar tu Vieja Laptop o Impresora Descubre Donde Llevarla para un Reciclaje Respo...
- Duolingo Apuesta por la IA y Triunfa El Auge de los Usuarios Activos Diarios Ignora las Criticas
- Black Hat 2025 La IA Agente se Consolida como Defensa Clave ante Amenazas Internas y Externas
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario