PyPI приближается к добавлению «организационных учетных записей» и файлов SBOM

В 2023 году директор по инфраструктуре Python назвал это «первым шагом в нашем плане создания финансовой поддержки и долгосрочной устойчивости PyPI», одновременно давая пользователям «одну из самых востребованных функций: учетные записи организаций». (То есть «самоуправляемые команды со своими собственными эксклюзивными брендированными веб-адресами», чтобы сделать их огромный репозиторий Python Package Index «более удобным для использования крупными сообществ, организациями или компаниями, которые управляют несколькими подкомандами и несколькими пакетами».)

Почти через два года они объявили, что «делают прогресс» в его внедрении…

За последний месяц мы предприняли несколько шагов вперед по привлечению новых организаций, приветствуя 61 новую общинную организацию и наших первых 18 корпоративных организаций. Мы все еще работаем над улучшением процесса проверки и одобрения и надеемся повысить нашу скорость обработки со временем. На сегодняшний день у нас в очереди на обработку 3562 запроса от сообществ и 6424 запроса от корпоративных организаций.

Они также приняли на работу специалиста по поддержке PyPI, чтобы «обеспечить критически необходимую пропускную способность для проверки накопившихся запросов» и «освободить время сотрудников-разработчиков для разработки функций, которые помогут в этой проверке». (И «нам наконец удалось завершить документ с условиями обслуживания для PyPI», создать необходимые инструменты для уведомления пользователей и начать внедрение условий обслуживания. [С момента запуска 20 лет назад условия обслуживания PyPi были обновлены всего два раза.]

В других новостях разработчик по безопасности в Python Software Foundation продолжает работу над Справочным списком программного обеспечения (SBOM), как описано в PEP № 770. Эта функция «будет определять специальную директорию внутри метаданных пакета Python (.dist-info/sboms) как директорию, где сборщики и другие инструменты могут хранить документы SBOM, описывающие компоненты внутри пакета помимо верхнего уровня».

Целью этого проекта является возможность измерения связанных зависимостей инструментами анализа программного обеспечения, такими как сканирование уязвимостей, соответствие лицензиям и инструменты статического анализа. Связанные зависимости распространены для пакетов научных вычислений и ИИ, но также в целом в пакетах, которые используют несколько языков программирования, таких как C, C++, Rust и JavaScript. PEP был переведен в статус «Временный», что означает, что спонсор PEP проводит окончательный просмотр перед тем, как инструменты смогут начать реализацию PEP до окончательного принятия его в стандарты упаковки Python. Сет начал внедрять код, который инструменты могут использовать при внедрении PEP, например проект, который абстрагирует функциональность различных менеджеров пакетов систем Linux для обратного преобразования пути файла в метаданные предоставляемого пакета.

Разработчик по безопасности Сет Ларсон (Seth Larson) выступит с докладом о этом проекте на PyCon US 2025 в Питтсбурге, штат Пенсильвания: «Тем временем InfoWorld сообщает, что недавно утвержденное Предложение по улучшению Python № 751 также даст Python стандартный формат файла блокировки.»