За кулисами Python Software Foundation

Фонд Python Software Foundation ("состоящий, управляемый и возглавляемый сообществом") занимается не только хостингом Python и его документации, Python Package Repository и процессами разработки основных разработчиков CPython. На этой неделе PSF опубликовал свой 28-страничный Годовой отчет о влиянии, в котором отметили, что 2024 год стал первым годом с тремя разработчиками-резидентами CPython. Между Лукашем (Łukasz), Петром (Petr) и Сергеем (Serhiy) было создано более 750 pull requests, а еще 1500 pull requests, созданных другими авторами, были проверены и объединены.

Лукаш Ланга (Łukasz Langa) совместно с Пабло Галиндо Салгадо (Pablo Galindo Salgado), Эмили Мораус-Валькарсель (Emily Morehouse-Valcarcel) и Лисандросом Николау (Lysandros Nikolaou) реализовал новую красочную оболочку, включенную в Python 3.13. Что касается кода, некоторые из наиболее интересных вкладов Петра Викторина (Petr Viktorin) касались модуля ctypes, который обеспечивает взаимодействие между Python и C. Среди многочисленных вкладов Сергея Сторчака (Serhiy Storchaka) в 2024 году можно выделить улучшение сообщений об ошибках для строк, байтов и bytearrays; переработку поддержки var-аргументов в генераторе обработки аргументов C под названием "Argument Clinic"; исправление утечек памяти в регулярных выражениях; повышение лимитов для целочисленных значений Python на 64-битных платформах; добавление поддержки произвольных кодовых страниц на Windows; улучшение поддержки комплексных чисел и дробей.

Благодаря инвестициям проекта Alpha-Omega в области безопасности в 2024 году, наш разработчик-резидент по безопасности, Сет Ларсон (Seth Larson), продолжил работу по улучшению безопасности CPython и экосистемы пакетов Python. Python продолжает оставаться лидером в области безопасности с открытым исходным кодом, что подтверждается тем, что ядро Linux стало органом присвоения номеров CVE, используя наше руководство, а также публикацией нового руководства для Trusted Publishers, используемого Ruby, Crates.io и Nuget. В начале 2024 года Белый дом и CISA рекомендовали Python как язык программирования, безопасный с точки зрения памяти, после нашего ответа на запрос Управления национального кибердиректора о безопасности с открытым исходным кодом в 2023 году. В связи с растущим спросом на SBOM, Сет проявил инициативу в создании документов SBOM для среды выполнения CPython и всех его зависимостей, которые теперь доступны на python.org/downloads. Сет также начал работу по стандартизации документов SBOM для пакетов Python с помощью PEP 770, чтобы решить проблему "фантомных зависимостей" и точно представить не-Python программное обеспечение, включенное в пакеты Python.

При поддержке инвестиций Amazon Web Services Open Source и Georgetown CSET в 2024 году, наш инженер по безопасности и надежности PyPI, Майк Фидлер (Mike Fiedler), завершил свой первый полный календарный год в PSF. В марте 2024 года Майк добавил кнопку "Сообщить о проекте как о вредоносном ПО" на веб-сайт, создав более структурированный процесс обработки входящих сообщений и сократив время на устранение проблем. Эта кнопка была использована более 2000 раз! Резкий скачок в июне был связан с запретом доменов электронной почты Outlook, а всплеск в ноябре был вызван постоянной атакой. Майк разработал возможность помещать проекты на карантин до дальнейшего расследования. Благодаря гранту от Alpha-Omega, Майк продолжит свою работу в течение второго года. В 2025 году мы планируем предпринять больше усилий для минимизации времени нахождения вредоносного ПО на PyPI.

В 2024 году PyPI зафиксировал рост количества загрузок на 84% и рост пропускной способности на 48%, обслужив 526 072 569 160 загрузок для 610 131 размещенных там проектов, что потребовало 1,11 Экзабайт данных или 281,6 Гбит/с пропускной способности 24x7x365. В 2024 году было загружено 97 тысяч новых проектов, 1,2 миллиона новых релизов и 3,1 миллиона новых файлов в индекс.