恶意软件报告的演进

我们很幸运拥有一个积极参与的安全研究人员社区，他们帮助我们保持 Python 包索引 (PyPI) 的安全。

这些人帮助我们识别并从索引中删除恶意项目，我们感谢他们持续的支持。

从历史上看，我们要求报告者根据 PyPI 安全策略通过电子邮件向我们报告恶意软件。

PyPI 现在拥有改进的恶意软件报告方式，**通过 PyPI 本身**。

我们在项目页面侧边栏底部添加了一个新的“报告项目为恶意软件”按钮

此按钮仅对已登录的用户可见，因为我们使用该信息来帮助我们跟踪报告并防止系统滥用。

单击该按钮时，系统会要求您提供报告原因，包括指向显示问题证据的特定文件和/或代码行的 Inspector 链接。

我们一直在努力为 PyPI 开发此功能。这是我们构建的首批面向用户的 API 功能，这些功能并非专门用于将发行版上传到 PyPI。

因此，我们有一个用于报告恶意软件的**预览测试版 API**，并且一直在与一些社区成员合作对其进行测试。

如果您有兴趣参与，请通过填写此 Google 表格告知我们。完成后，我们将在几天内将人员加入到具有更多详细信息的私人 GitHub 代码库中。

我们希望通过开发以 API 为中心的 기능，可以进一步缩短从 PyPI 中删除恶意软件所需的时间，从而减少对整个社区的潜在影响。

它仍处于早期阶段，因此您的意见可以帮助塑造此功能。

无论哪种方式

提交后，报告将由 PyPI 管理员进行审核，并在做出决定后，可能会通过与报告用户关联的电子邮件通知报告者结果。

这通常在几个工作日内完成。对于更复杂的情况，我们可能有一些问题，请注意来自 security@pypi.org 的任何电子邮件回复。

再次感谢您成为帮助维护 PyPI 对所有人安全的社区的一份子。