„Python“ paketo indeksas (PYPI) paskelbė, kad buvo įvesta „Project Archival“, nauja sistema, leidžianti leidėjams archyvuoti savo projektus, nurodydama vartotojams, kad atnaujinimai negalima tikėtis.
Projektai vis tiek bus priglobti PYPI, o vartotojai vis tiek galės juos atsisiųsti, tačiau jie pamatys įspėjimą apie priežiūros būseną, kad padėtų jiems priimti pagrįstus sprendimus dėl jų priklausomybių.
Nauja funkcija siekia pagerinti tiekimo grandinės saugumą, nes užgrobti kūrėjų paskyras ir kenkėjiškų atnaujinimų stumia į plačiai naudojamus, tačiau apleistus projektus yra dažnas scenarijus atvirojo kodo erdvėje.
Be vartotojų rizikos mažinimo, jis taip pat sumažina vartotojų palaikymo užklausas užtikrinant aiškų projekto gyvavimo ciklo būseną.

Šaltinis: PYPI
Kaip veikia projekto archyvavimas
Remiantis išsamesniu „TrailOfbits“ tinklaraščiu, naujos „Pypi“ projekto archyvinės sistemos kūrėju, ši funkcija suteikia prižiūrimą kontroliuojamą būseną, leidžiančią projekto savininkams pažymėti savo projektus kaip archyvuoti, signalizuoti, kad daugiau atnaujinimų nebus, pataisymai, pataisymai, arba priežiūra.
PYPI rekomenduoja prižiūrėti, kad prižiūrėtojai išleis galutinę versiją prieš archyvuodami projektą, kuriame pateikiama išsami informacija ir paaiškinimai apie projekto archyvavimo priežastį, nors tai nėra privaloma.
Prižiūrėtojai gali bet kada atsisakyti savo projekto, jei jie nuspręs atnaujinti jį.
Po gaubtu naujoji sistema naudoja „LifeCyclestatus“ modelį, iš pradžių sukurtą projekto karantinui, į kurį įeina būsenos mašina, leidžianti pereiti tarp skirtingų būsenų.
Kai projekto savininkas spustelėja parinktį „Archyvo projektas“ PYPI nustatymų puslapyje, platforma automatiškai atnaujina savo metaduomenis, kad atspindėtų naują būseną.
„TrailOfbits“ sako, kad planuojama pridėti daugiau projekto būsenų, tokių kaip „Nenutrūkstama“, „Funkcijos-pilnos“ ir „Neįmanoma“, suteikianti vartotojams aiškesnę idėją apie projekto būklę.

Šaltinis: PYPI
Įspėjamoji reklaminė juosta yra skirta informuoti kūrėjus, kad jiems reikia ieškoti aktyviai prižiūrimų alternatyvių priklausomybių, užuot ir toliau pasikliauti pasenusiais ir potencialiai nesaugiais projektais.
Be to, dažnai būna, kad užpuolikai nukreipia į apleistus paketus, perimdami nepagrįstus projektus ir švirkščiant kenksmingą kodą per atnaujinimą, kuris gali įvykti po kelerių metų po paskutinio.
Kitais atvejais prižiūrėtojai nusprendžia ištrinti savo projektus planuodami sustabdyti plėtrą, o tai lemia tokius scenarijus kaip „atgimimo pagrobimo“ išpuoliai. Saugumo perspektyvos suteikimas šiems prižiūrėtojams yra daug geresnė.
Galų gale dėl atviro kodo pobūdžio daugelis projektų atsisako be išankstinio įspėjimo, todėl vartotojai atspėjo, ar jie vis dar prižiūrimi.
Naujoji sistema turėtų pagerinti atvirojo kodo projekto priežiūros skaidrumą, pašalinti spėliones ir pateikti aiškų signalą apie projekto būseną.