За даними DOU з посиланням на блог PSF, кошти підуть на реалізацію безпекової дорожньої карти, зокрема на зміни в CPython і роботу з Python Package Index. Один із головних напрямів — створити інструменти, які зможуть автоматично і проактивно перевіряти всі пакети, що завантажуються в PyPI. У PSF пояснюють, що нинішні підходи значною мірою є реактивними, а нові механізми мають допомогти захищати мільйони користувачів від спроб атак на ланцюг постачання, коли шкідливий код потрапляє в проєкти через бібліотеки та залежності.
Щоб такі перевірки працювали ефективно, PSF планує сформувати окремий набір даних із відомими зразками шкідливого ПЗ. На основі цього датасету фонд хоче розробляти та тестувати інструменти виявлення загроз, а також зазначає, що результати можуть бути корисними не лише для Python: частину напрацювань потенційно можна перенести на інші репозиторії відкритого коду.
Окремою статтею Anthropic підтримує «базову роботу» PSF. Йдеться про програму Developer in Residence, яка стимулює внески до CPython, про гранти й інші програми для спільноти, а також про утримання основної інфраструктури фонду, включно з PyPI. У PSF уточнюють, що безпекові плани спираються на дорожню карту Security Developer in Residence Сета Ларсона, а також роботу інженера PyPI з безпеки Майка Фідлера; ці ролі, як зазначено в повідомленні, фінансує Alpha-Omega.
Так звані «атаки через залежності» стали однією з найболючіших проблем open source: достатньо підмінити популярний пакет або «вшити» шкідливий код у бібліотеку, щоб він роз’їхався по тисячах проєктів через автоматичні встановлення. Тому великі компанії дедалі частіше фінансують фонди й інфраструктуру мов програмування не з благодійності, а як спосіб знизити ризики для власних продуктів і всього ринку.
Читайте также: Засновник Signal випустив Ші-асистента Confer і намагається зробити його таким же приватним, як його месенджер
Раніше dev.ua писав про те, як Anthropic представила новий інструмент під назвою Cowork, задуманий як доступніша версія Claude Code. Інтегрований у додаток Claude Desktop, він надає користувачеві можливість визначити конкретну папку для доступу ШІ. Claude може зчитувати та редагувати файли в ній, керуючись інструкціями зі стандартного вікна чату.
Читайте также: У Playtika нова хвиля звільнень: 15% співробітників втратять роботу, зокрема українці