Minggu ini Python Software Foundation menjelaskan bagaimana mereka menjaga keamanan Python. Sebuah postingan blog baru memberi penghargaan kepada para sukarelawan dan staf berbayar Python Software Foundation di Tim Respons Keamanan Python (PSRT), yang “melakukan triase dan mengoordinasikan laporan kerentanan dan remediasi untuk menjaga keamanan semua pengguna Python.” Tahun lalu PSRT menerbitkan 16 saran kerentanan untuk CPython dan pip, yang merupakan jumlah terbanyak dalam satu tahun hingga saat ini! Dan PSRT biasanya tidak dapat melakukan pekerjaan ini sendirian, koordinator PSRT didorong untuk melibatkan pengelola dan ahli pada proyek dan submodul. Dengan melibatkan para ahli secara langsung dalam proses remediasi, kami memastikan perbaikan mematuhi konvensi API dan model ancaman yang ada, dapat dipertahankan dalam jangka panjang, dan memiliki dampak minimal pada kasus penggunaan yang ada. Kadang-kadang PSRT bahkan berkoordinasi dengan proyek sumber terbuka lainnya untuk menghindari ekosistem Python lengah dengan menerbitkan peringatan kerentanan yang mempengaruhi banyak proyek lainnya. Contoh terbaru dari hal ini adalah mitigasi serangan diferensial arsip ZIP PyPI. Karya ini layak mendapatkan pengakuan dan perayaan seperti halnya kontribusi pada kode sumber dan dokumentasi. [Security Developer-in-Residence Seth Larson and PSF Infrastructure Engineer Jacob Coffee] sedang mengembangkan perbaikan lebih lanjut pada alur kerja yang melibatkan “Saran Keamanan GitHub” untuk mencatat pelapor, koordinator, dan pengembang remediasi serta peninjau ke catatan CVE dan OSV untuk mengucapkan terima kasih yang pantas kepada semua orang yang terlibat dalam kontribusi swasta terhadap proyek sumber terbuka.
Baca lebih lanjut cerita ini di Slashdot.
