A principios de enero, una propuesta para mejorar la Python (Python Mejoration Propal) estaba sujeta a comentarios. Planea integrar documentos de nomenclatura de software también llamados SBOM (Bill de software) en los paquetes de Python. El objetivo es mejorar su "medición" y resolver el problema de las "dependencias fantasmas". Para justificar esta propuesta, los autores explican que los paquetes de Python se ven particularmente afectados por un problema de dependencia fantasma, lo que significa que a menudo incluyen componentes de software que no están escritos en Python, ya sea por razones de compatibilidad con estándares, facilidad de instalación o en casos de uso como el aprendizaje automático que usan bibliotecas de C, C ++, Languas, Languaces.

La propuesta señala que si los usuarios prefieren el formato del paquete binario de la rueda de Python debido a su instalación de instalación, requiere agrupar bibliotecas compiladas compartidas sin método de codificación de metadatos con respecto a ellas. Además, los paquetes vinculados a los paquetes de Python a veces deben resolver el problema de la arranque de Python y, por lo tanto, incluyen proyectos a prueba de búsqueda puros.

Una necesidad cada vez más fuerte de documentación

Sin embargo, estos componentes de software no pueden describirse utilizando los metadatos de los paquetes de Python y las herramientas no pueden verlo para analizar la composición del software (análisis de composición de software), de modo que los componentes de software vulnerables no sean precisos. La inclusión de un documento SBOM que anota todas las bibliotecas inclusivas permitiría que las herramientas SCA identifiquen de manera confiable el software incluido.

Dado que SBOM es independiente de la tecnología y el ecosistema para describir la composición, la procedencia y la herencia del software, y que los SBOM se utilizan como datos de entrada para herramientas de composición de software (SCA), como es el caso de los escáneres para vulnerabilidades y licencias, la propuesta recomienda el uso de SBOMS para mejorar la medición de las PCQEET. Además, las listas que enumeran todos los componentes del software, sus dependencias y metadatos asociados son requeridos por las regulaciones de seguridad recientes, como el marco de desarrollo de software seguro (SSDF). Debido a estas regulaciones, los autores de la propuesta creen que la solicitud de documentos de SBOM para proyectos de código abierto debería seguir siendo alta, lo que justifica aún más el uso de documentos SBOM en los paquetes de Python.