Feb 03, 2025ravie Lakshmananopen chanzo / usalama wa programu Watunzaji wa Msajili wa Kisa cha Python Package (PYPI) wametangaza kipengele kipya ambacho kinaruhusu watengenezaji wa kifurushi kuweka kumbukumbu ya mradi kama sehemu ya juhudi za kuboresha usalama wa usambazaji. “Watunzaji sasa wanaweza kuweka kumbukumbu ya mradi wa kuwaruhusu watumiaji kujua kuwa mradi huo hautarajiwi kupokea sasisho zozote,” Facundo Jumanne, mhandisi mwandamizi katika Trail of Bits, alisema. Kwa kufanya hivyo, wazo ni kuashiria wazi kwa watengenezaji kuwa maktaba za Python hazihifadhiwa tena na kwamba hakuna marekebisho ya usalama wa baadaye au sasisho za bidhaa zinazotarajiwa. Hiyo ilisema, miradi iliyoandaliwa kama kumbukumbu itaendelea kubaki kwenye PYPI na watumiaji wanaweza kuendelea kuisanikisha bila maswala yoyote. Katika chapisho tofauti la blogi linaloelezea kipengele hicho, Jumanne alisema watunzaji wanazingatia takwimu zinazodhibitiwa na mtunzaji ili kuwasiliana vyema hali ya mradi kwa watumiaji wa chini. PYPI pia inapendekeza kwamba watengenezaji wa vifurushi watoe toleo la mwisho kabla ya kumbukumbu kwa kusasisha maelezo ya mradi ili kuonya watumiaji na kujumuisha njia mbadala kama uingizwaji. Maendeleo hayo yanakuja muda mfupi baada ya Pypi kuyatoa uwezo wa kuweka miradi, kuruhusu wasimamizi kuashiria mradi kama unaoweza kutiliwa shaka na kuizuia kusanikishwa na watumiaji wengine kuzuia madhara zaidi. Mnamo Novemba 2024, wasimamizi wa PYPI waliweka alama ya maktaba ya Python AIOCPA baada ya sasisho mpya kupatikana ikiwa ni pamoja na nambari mbaya iliyoundwa iliyoundwa funguo za kibinafsi kupitia telegraph. Tangu Agosti ya mwaka jana, takriban miradi 140 imewekwa wazi na baadaye kuondolewa kutoka kwa usajili unaozuia. “Kuwa na hatua hii ya mpatanishi kuwezesha Admins ya Pypi kuunda usalama zaidi kwa watumiaji wa mwisho, kulinda watumiaji wa mwisho haraka na PyPI Admins kuondoa kifurushi cha tuhuma kutoka kusanikishwa, wakati wa kuruhusu uchunguzi zaidi,” msimamizi wa PYPI Mike Fiedler alisema. “Kwa kuwa kuondolewa kwa mradi kutoka kwa PYPI ni hatua ya uharibifu, kuunda hali ya kuwekewa dhamana inaruhusu kurejesha mradi ikiwa unaona ripoti chanya ya uwongo bila kuharibu historia yoyote ya mradi au metadata.” Je! Nakala hii inavutia? Tufuate kwenye Twitter  na LinkedIn kusoma yaliyomo kipekee tunayotuma.