Python 보안 대응팀이 Python 사용자를 안전하게 지키는 방법

Source: Slashdot

Overview

Python Software Foundation(PSF)은 최근 Python Security Response Team(PSRS)이 Python 사용자를 어떻게 안전하게 보호하는지 강조했습니다. PSRS 자원봉사자와 유급 직원은 “취약점 보고서와 해결 방안을 선별하고 조정”하여 전체 Python 생태계의 보안을 보장합니다.

Recent Activity

• 지난 1년 동안 PSRS는 CPython과 pip에 대해 16개의 취약점 권고를 발표했으며, 이는 현재까지 연도별 최다 발표 수치입니다.
• 팀은 다양한 프로젝트와 서브모듈의 유지보수자 및 전문가와 자주 협업합니다. 이러한 전문가들의 직접적인 참여는 수정 사항이 다음을 만족하도록 합니다:
  • 기존 API 관례와 위협 모델을 따름
  • 장기적으로 유지보수가 가능함
  • 기존 사용 사례에 미치는 영향을 최소화함

Coordination with Other Projects

PSRS는 때때로 외부 오픈소스 프로젝트와 협력하여 다중 프로젝트 취약점으로 인해 생태계가 당황하지 않도록 합니다. 최근 사례로는 PyPI ZIP‑archive 차등 공격 완화 작업이 있으며, 이는 여러 프로젝트에 걸친 조정된 공개를 필요로 했습니다.

Recognition and Future Work

PSRS의 기여는 코드와 문서 기여만큼 동일한 인정을 받아야 합니다. Security Developer‑in‑Residence Seth Larson와 PSF Infrastructure Engineer Jacob Coffee는 GitHub Security Advisories와 관련된 워크플로우를 개선하고 있습니다. 그들의 작업 목표는:

• CVE 및 OSV 기록에 보고자, 조정자, 해결 개발자, 검토자를 기록
• 종종 비공개 기여가 되는 오픈소스 보안 작업에 참여한 모든 사람을 적절히 인정

이러한 노력은 투명성, 공로 인정, 그리고 Python과 그 커뮤니티의 보안 태세를 강화하는 데 기여합니다.