为未来保障 PyPI

我们很高兴地宣布，亚马逊网络服务现在是Python 软件基金会的 Python包索引 (P yPI) 安全赞助商 ，该基金会 是一个致力于推进与Python编程语言相关的开源技术的非营利组织。通过此次赞助，亚马逊云科技 向 PSF 提供资金，聘请一名全职的安全和安保工程师，致力于改善 PyPI 的安全状况。这项工作是我们在亚马逊网络服务 (亚马逊云科技) 支持开源软件供应链安全的更广泛计划的一部分。

Python 是一种非常受我们的客户、合作伙伴和亚马逊工程师欢迎的开源编程和脚本语言。它在 TIOBE指数 （2023年4月）和 编程语言 流行度（PYPL） 指数中均排名第一。 PyPI 是 Python 编程语言的主要软件存储库。由于 Python 本质上是模块化的，因此大多数 Python 应用程序都严重依赖 PyPI 来为核心函数提供必要的依赖关系，而不是每次都重新发明它们。PyPI 也是 Python 应用程序和库的主要分发点。

在 亚马逊云科技，我们知道规模和成功带来了广泛的责任。亚马逊及其客户使用Python构建解决方案，我们认识到需要回馈我们所依赖的开源社区，并帮助确保其长期可持续性。亚马逊云科技 是 PSF 的维护赞助商，自 2018 年以来一直支持 PyPI，当时该指数被重写为在 亚马逊云科技 上运行，以解决性能和可扩展性问题。如今，得益于 PSF 基础设施总监 Ee Durbin 和 PyPI 基础设施团队的大量工作，PyPI 的规模非常好。亚马逊云科技 很高兴能够继续通过 A WS 积分 支持 PyPI ，从而抵消他们的基础设施成本。

PyPI 现在面临着大规模的新挑战：保持 Python 软件包的安全。PyPI 经常受到恶意攻击者的威胁，其攻击包括域名仿造、依赖注入和依赖关系混淆。公司（包括亚马逊云科技）在PyPI上发布关键业务软件，而软件包被恶意发布，似乎来自代表大型目标的用户。这些针对 PyPI 的攻击导致了长时间的支持票积压，目前由一名兼职志愿者解决。迄今为止，他们为保持领先地位所做的努力简直令人难以置信，但它们可以更具可持续性。

作为第一个 PyPI 安全赞助商，我们正在提供额外的资金，这将使PSF能够为PyPi雇用一名全职的安全和安保工程师。这将为PyPi提供更多资源，以从网站上删除恶意软件并更快地响应与安全问题相关的支持请求。此外，这将使PyPI能够从被动安全方法转变为主动安全方法，在这种方法中，他们可以制定具有改进里程碑的安全计划，并在发布前对新的PyPI功能进行适当的安全审计。

供应链安全是整个行业关注的问题，Python 并不是唯一面临这些挑战的。Python 包索引对全球无数用户至关重要。新的安全和安保工程师将帮助缓解当前支持问题的瓶颈，更快地删除恶意软件，并保持 PyPI 的安全，以造福所有用户。我们期待继续与Python软件基金会合作，努力改善开源供应链的安全性。