PYPI添加了项目归档系统以阻止恶意更新

文章预览

Python软件包索引（PYPI）宣布了“项目档案”的引入，该系统允许发布者归档其项目，并向用户表明预计不会更新。这些项目还将在PYPI上托管，用户仍然可以下载它们，但会看到有关维护状态的声明。 基于劫持开发人员帐户并将恶意更新推向广泛使用但废弃的项目是开源空间中的常见情况，所 以这项新功能旨在提高供应链的安全性。 除了降低用户的风险外，它还通过确保与项目的生命周期状态进行沟通来减少用户的支持请求。 关于存档项目的警告字样 项目档案如何工作 根据PYPI新项目档案系统开发人员的详细博客表示，该功能提供了维护者控制的状态，该状态允许项目所有者将其项目标记为已存档，向用户发出信号，并表明将不会有进一步的更新。 PYPI建议维护者在归档项目之前发布最终版本，以包括对项目的详细信息和解释，尽管这不是强制 ………………………………