PyPI introduz arquivamento de projetos para evitar atualizações maliciosas

O repositório PyPI implementou o recurso Project Archival, que permite aos responsáveis por projetos arquivá-los, sinalizando que nenhuma atualização futura, como melhorias ou correções, está prevista. Embora o projeto permaneça hospedado no PyPI e ainda possa ser baixado pelos usuários, um aviso sobre seu status será exibido.

O objetivo do recurso é prevenir ataques em que hackers sequestram contas de desenvolvedores para enviar atualizações maliciosas a projetos populares, mas descontinuados. O PyPI recomenda que os mantenedores publiquem uma versão final antes de arquivar um projeto, fornecendo detalhes sobre o motivo do arquivamento e, se possível, sugerindo alternativas. Contudo, essa prática não é obrigatória.

Os mantenedores têm a opção de desarquivar seus projetos a qualquer momento caso decidam retomar o desenvolvimento. Além disso, o PyPI planeja introduzir novos status de projeto, como “obsoleto”, “concluído” e “sem manutenção”, para oferecer uma visão mais clara sobre a condição atual de cada projeto.