Il Python Package Index (PyPI), il principale repository per i pacchetti Python, ha recentemente introdotto una nuova funzionalità che consente ai manutentori di archiviare un progetto. Questa iniziativa mira a migliorare la sicurezza della supply chain segnalando chiaramente quali pacchetti non riceveranno più aggiornamenti o correzioni di sicurezza. Secondo Facundo Tuesca, ingegnere senior presso Trail of Bits, questa funzione permette ai manutentori di indicare che un progetto non sarà più mantenuto attivamente, eliminando così eventuali ambiguità per gli sviluppatori che utilizzano tali librerie.

I pacchetti etichettati come archiviati continueranno a essere disponibili su PyPI, consentendo agli utenti di installarli senza alcun problema. Tuttavia, PyPI raccomanda ai sviluppatori di rilasciare una versione finale del progetto prima di archiviarlo, aggiornando la descrizione per avvisare gli utenti e suggerendo alternative di sostituzione, se disponibili. Questa mossa segue l'introduzione di una funzionalità che consente agli amministratori di PyPI di mettere in quarantena i progetti, etichettandoli come potenzialmente sospetti per evitare installazioni dannose.

Un esempio recente della necessità di tali misure di sicurezza è avvenuto nel novembre 2024, quando PyPI ha messo in quarantena la libreria Python aiocpa, dopo che un aggiornamento aveva introdotto codice dannoso progettato per esfiltrare chiavi private tramite Telegram. Da agosto dell'anno precedente, circa 140 progetti sono stati messi in quarantena e successivamente rimossi dal registro, tranne uno. Mike Fiedler, amministratore di PyPI, ha spiegato che questa fase intermedia consente una maggiore sicurezza per gli utenti finali, proteggendoli rapidamente dall'installazione di pacchetti sospetti e permettendo un'ulteriore indagine per confermare o smentire le segnalazioni.

Questa capacità di archiviazione e quarantena rappresenta un ulteriore passo avanti nella protezione della comunità Python dalle minacce alla sicurezza, garantendo che i progetti inattivi siano chiaramente contrassegnati e che i pacchetti sospetti possano essere gestiti in modo efficace senza compromettere la storia o i metadati dei progetti. In un contesto in cui la sicurezza della supply chain è una delle principali preoccupazioni per gli sviluppatori, queste misure sono essenziali per prevenire possibili exploit e migliorare la fiducia nella comunità open source.