- Компания Anthropic инвестирует 1,5 миллиона долларов в развитие экосистемы Python в сотрудничестве с Python Software Foundation.
- Фокус инвестиций направлен на повышение безопасности цепочки поставок и защиту Python Package Index (PyPI) с использованием проактивных инструментов анализа пакетов.
- Работы будут вестись в рамках существующей дорожной карты безопасности PSF с уже финансируемыми инженерами, включая развитие CPython и поддержку core-инфраструктуры PyPI.
Компания Anthropic объявила о начале двухлетнего партнерства с Python Software Foundation (PSF) с целью поддержки и улучшения Python-экосистемы. В рамках соглашения Anthropic вложит 1,5 миллиона долларов в ряд инженерных инициатив, направленных главным образом на повышение безопасности Python Package Index (PyPI) – центрального репозитория пакетов Python.
В отличие от прежней реактивной модели, когда угрозы обнаруживались уже после загрузки вредоносных пакетов, новая концепция предполагает внедрение проактивных инструментов, способных анализировать все загружаемые в PyPI пакеты на наличие зловредного кода ещё на этапе публикации. Кроме того, в рамках проекта планируется создание специализированного датасета известных вредоносных программ, что позволит более эффективно выявлять потенциальные угрозы и применять детекторы, основанные на способностях пакетов.
Отмечается, что разработки имеют потенциал к масштабированию и могут быть использованы не только для Python, но и для других open source репозиториев, что повысит общую безопасность экосистем свободного программного обеспечения.
Важной особенностью сотрудничества Anthropic и PSF является интеграция усилий с уже действующей дорожной картой по безопасности, а также с командой Security Developer in Residence и инженерами PyPI, чья работа уже поддерживается через программу Alpha-Omega. Таким образом, Anthropic усиливает существующее направление, не создавая параллельных инициатив.
Кроме основных задач, часть инвестиций будет направлена на развитие самой реализации CPython, поддержку ключевой инфраструктуры PyPI, а также на гранты и программы, поддерживающие сообщество разработчиков и пользователей Python.
Этот шаг Anthropic отражает возрастающую важность безопасности в экосистеме open source, где поставка программного обеспечения через централизованные репозитории становится критичным моментом для защиты от целевых атак на цепочку поставок ПО.
