宣布推出 PyPI 恶意软件报告和响应项目
我们很高兴地宣布,PSF 已从安全与新兴技术中心 (CSET) 收到资金,用于开发和改进 PyPI 上的恶意软件报告和响应基础设施。该项目将在未来一年内执行。
目前,恶意软件报告通过电子邮件提交给 PyPI 管理员,然后由管理员手动进行分类和响应。在简化报告提交流程和用于分类和响应报告的工具方面存在改进的机会。当前流程难以轻松扩展或处理重复报告。很难衡量修复时间,目前无法实现对威胁的自动删除。
该项目有以下目标
- 开发允许恶意软件报告的 API
- 扩展 PyPI 管理员工具以查看、整理和处理安全报告
- 收集必要的元数据并识别可信报告人
- 定义指标,以便我们能够定义良好的报告实践和处理安全问题的时间
- 定义基于共识的自动删除和软删除包的标准
- 突出显示可信报告人和报告质量
由于 PyPI 是 Python 生态系统不可或缺的一部分,因此该项目对于确保数百万 Python 开发人员信任的 450,000 多个包的安全至关重要。在接下来的几周内,我们将与安全报告员合作,确定 API 应支持的关键要素以及可以为 PyPI 安全报告增加价值的有用指标。如果您或您的同事目前正在对 PyPI 上传进行恶意软件分析,我们很乐意在https://forms.gle/ixRoNJEPVNekFN7H7 处收到您的来信。
Shamika Mohanan 自 2021 年起担任 PSF 的包装项目经理。