Lo scorso anno abbiamo parlato in un paio di occasioni dei pacchetti presenti sul repository PyPI contenenti malware, fossero questi a sé stanti o addirittura referenziati all’interno dei commenti di Stack Overflow, il concetto da allora non è cambiato: il rischio di trovarsi infettati da cripto miner mentre si hanno altre intenzioni rimane molto alto.
Il problema ha enormi sfaccettature ed una di queste è l’aspetto sociale, che i criminali sfruttano nel far passare per legittimi pacchetti che in realtà non lo sono, suggerendo questi con dei link o creandoli con nomi simili ad altri esistenti (ed affidabili).
È proprio in merito a questo aspetto che il progetto PyPI ha deciso di agire, raccontando, all’interno di un recentissimo blog post, una modalità di gestione che dovrebbe, se non risolvere, quantomeno fornire chiare indicazioni agli utenti in merito al grado di affidabilità dei pacchetti: si tratta dell’archiviazione dei progetti.
Costruito sulla base della feature denominata quarantine, grazie alla quale gli amministratori possono contrassegnare come potenzialmente pericoloso un pacchetto, la funzionalità di archiviazione consente di etichettare un progetto come “archiviato” e fare sì che gli utenti siano al corrente dello stato in questione.
Ciò non impedirà agli utenti di installare il pacchetto, ma solo a creare più consapevolezza. La modalità sarà presente per gli amministratori nella pagina di gestione, in questa forma:
All’attivazione della modalità, ecco che nella pagina del progetto il suo stato sarà esplicitato in questo modo:
Il tutto è parte di un progetto più ampio di copertura dell’intero ciclo di vita dei pacchetti che il progetto PyPI sta portando avanti, il cui scopo è appunto quello di prevenire il più possibile la diffusione di codice malevolo nei pacchetti distribuiti.
Un progetto che noi seguiremo con attenzione perché, come sempre, tutto parte dall’ormai celeberrima immagine di Xkcd:
Anche la più piccola dipendenza del vostro progetto preferito potrebbe essere a rischio!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)