【安全资讯】PyPI推出项目归档系统以防止恶意更新

概要：

Python软件包索引（PyPI）近日宣布推出“项目归档”新系统，旨在提高开源项目的安全性，防止开发者账户被劫持并推送恶意更新。该系统允许项目发布者将其项目归档，向用户表明该项目将不再更新，从而帮助用户做出明智的依赖选择。

主要内容：

新系统的推出是为了应对开源领域中常见的安全威胁，尤其是针对被遗弃项目的恶意攻击。开发者可以通过归档项目来标识其维护状态，用户在下载时会看到相关警告，提醒他们该项目不再接受更新或维护。PyPI建议开发者在归档前发布最终版本，以便包含归档原因的详细信息，尽管这并非强制要求。

该系统的核心是一个生命周期状态模型，允许项目所有者在PyPI设置页面上选择“归档项目”选项，系统会自动更新项目的元数据。未来，PyPI计划增加更多项目状态，如“已弃用”、“功能完整”和“未维护”，以便用户更清晰地了解项目的现状。

归档警告旨在提醒开发者寻找积极维护的替代依赖，而不是继续依赖过时且可能不安全的项目。攻击者常常会针对被遗弃的包，接管未维护的项目并通过更新注入恶意代码。通过提供归档选项，PyPI在安全性上做出了重要改进，提升了开源项目维护的透明度，消除了用户对项目维护状态的猜测。