
<div dir="auto">This vector exists today for all new stdlib modules: once added, any existing dependency could include that name to cater it to be imported on prior python versions.<div dir="auto"><br></div><div dir="auto">Rob</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 22 May 2019, 17:03 Stephen J. Turnbull, <<a href="mailto:turnbull.stephen.fw@u.tsukuba.ac.jp" target="_blank" rel="noreferrer">turnbull.stephen.fw@u.tsukuba.ac.jp</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Christian Heimes writes:<br>

<br>

 > It's all open source. It's up to the Python community to adopt<br>

 > packages and provide them on PyPI.<br>

 > <br>

 > Python core will not maintain and distribute the packages. I'll<br>

 > merely provide a repository with packages to help kick-starting the<br>

 > process.<br>

<br>

This looks to me like an opening to a special class of supply chain<br>

attacks.  I realize that PyPI is not yet particularly robust to such<br>

attacks, and we have seen "similar name" attacks (malware uploaded<br>

under a name similar to a popular package).  ISTM that this approach<br>

to implementing the PEP will enable "identical name" attacks.  (By<br>

download count, stdlib packages are as popular as Python. :-)<br>

<br>

It now appears that there's been substantial pushback against removing<br>

packages that could be characterized as "obsolete and superseded but<br>

still in use", so this may not be a sufficient great risk to be worth<br>

addressing.  I guess this post is already a warning to those who are<br>

taking care of the "similar name" malware that this class of attacks<br>

will be opened up.<br>

<br>

One thing we *could* do that would require moderate effort would be to<br>

put them up on PyPI ourselves, and require that would-be maintainers<br>

be given a (light) vetting before handing over the keys.  (Maybe just<br>

require that they be subscribers to the Dead Parrot SIG? :-)<br>

<br>

Steve<br>

_______________________________________________<br>

Python-Dev mailing list<br>

<a href="mailto:Python-Dev@python.org" rel="noreferrer noreferrer" target="_blank">Python-Dev@python.org</a><br>

<a href="https://mail.python.org/mailman/listinfo/python-dev" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/python-dev</a><br>

Unsubscribe: <a href="https://mail.python.org/mailman/options/python-dev/robertc%40robertcollins.net" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.python.org/mailman/options/python-dev/robertc%40robertcollins.net</a><br>

</blockquote></div>