Dentre os principais aspectos a serem observados em uma boa linguagem de programação, está a segurança em um contexto geral! Além da necessidade de contar com recursos e mecanismos que possam auxiliar os desenvoledores a criar programas com menos falhas de segurança, as linguagens de programação também precisam estar preparadas para lidar com as suas próprias vulnerabilidades. Por isto, vários investimentos tem sido feitos para garantir isto…
“Larson is just one of several full-time developers recently hired to help the Python ecosystem. Since July of 2021 there’s also been a developer-in-residence – soon to be augmented by a new deputy developer-in-residence. Then in August the foundation added its first full-time safety and security engineer for PyPI, the official repository where nearly 500,000 user-contributed Python projects are available for installation.”
— by The New Stack.
Seth Larson é o novo programador contratado pela Python Software Foundation no início do ano (2023), para uma nova função de desenvolvedor residente de segurança em tempo integral, que por sua vez é financiado pela Open Software Security Foundation (uma organização sem fins lucrativos subsidiada da Linux Foundation). A escolha de Larson como candidato ideal, se deu em virtude do seu envolvimento de longa data com diversos projetos de código aberto, destacando-se também o fato de ser o principal mantenedor da biblioteca cliente HTTP urllib3 (o pacote mais baixado para Python, com +10 milhões de downloads).
E Larson não perdeu tempo: após ter dado uma olhada do início ao fim em todo o processo de lançamento das novas versões do Python, ele criou um diagrama para cada estágio e fez referências com as principais ameaças para softwares de código aberto, tendo como objetivo garantir um processo de liberação melhor (entre outras coisas). Em uma palestra recente, ele também disse que está explorandoa automação de redução de carga de trabalho como o Azure Pipeline, que por sua vez também irá beneficiar o fortalecimento da segurança como um todo.
A partir de então, ele tem feito várias melhorias em conjunto com as demais equipes de desenvolvimento, como a auditoria das assinaturas para os novos lançamentos, a coordenar as correções de falhas, a implementação de processos de automação, a redefinir as atribuições de números CVE para as vulnerabilidades recém-descobertas, entre outras ações e reestruturações que foram fundamentais para facilitar a vida dos programadores, em relação a gestão de problemas relacionados a segurança. E se não bastassem todos estes esforços, ele ainda pretende compartilhar as lições aprendidas!
Embora os feitos e as conquistas de Larson e os demais colaboradores (relatados no artigo em questão) sejam de fato impressionantes, estou mesmo interessado é em saber qual será o impacto destas mudanças a médio e longo prazo não só para Python, como também para todos os projetos relacionados. Há alguns meses, venho acompanhando as notícias referentes as falhas e vulnerabilidades provenientes dos pacotes que fazem parte do seu repositório oficial e confesso que estas ocorrências, têm me deixado preocupado em relação ao uso desta linguagem.
Pois há tempos, pretendo conhecer e dominar esta incrível ferramenta! &;-D