Anthropic ने PSF (Python Software Foundation) में 15 लाख डॉलर का निवेश किया और PyPI सुरक्षा मज़बूत करने के लिए साझेदारी की

 (pyfound.blogspot.com)
3 पॉइंट द्वारा darjeeling 2026-01-13 | 4 टिप्पणियां | WhatsApp पर शेयर करें

सारांश:

  • Anthropic ने PSF के साथ 2 साल की साझेदारी की है और Python ecosystem की सुरक्षा व स्थिरता के लिए कुल 15 लाख डॉलर (लगभग 21 अरब वॉन) का निवेश किया है।
  • मुख्य लक्ष्य PyPI (Python Package Index) की supply chain security को मज़बूत करना है, जिसमें package upload के समय automated proactive review टूल विकसित करने पर फोकस है।
  • ज्ञात malware dataset बनाकर capability analysis आधारित security tools डिज़ाइन किए जाएंगे, और इन्हें आगे अन्य open source ecosystem तक भी विस्तारित करने की योजना है.

विस्तृत सारांश:

  1. निवेश का अवलोकन और पृष्ठभूमि
    AI मॉडल Claude की डेवलपर कंपनी Anthropic ने Python Software Foundation (PSF) के साथ 2 साल की साझेदारी की है और 15 लाख डॉलर दान किए हैं। यह AI development की 'lingua franca (साझा भाषा)' के रूप में Python के महत्व को मान्यता देने वाला कदम है, और इस धन का उपयोग पूरे Python ecosystem की सुरक्षा और स्थिरता बढ़ाने में किया जाएगा।

  2. open source सुरक्षा में नवाचार: PyPI supply chain defense
    इस निवेश का केंद्र CPython और PyPI की सुरक्षा को उन्नत करना है।

  • proactive review में बदलाव: मौजूदा reactive तरीके से आगे बढ़ते हुए, PyPI पर अपलोड होने वाले सभी packages की पहले से automated समीक्षा करने के लिए नए tools विकसित किए जाएंगे।
  • तकनीकी दृष्टिकोण: इसके लिए ज्ञात malware का एक नया dataset बनाया जाएगा, और 'capability analysis' पर आधारित detection tools डिज़ाइन किए जाएंगे।
  • ecosystem विस्तार क्षमता: इस परियोजना के परिणाम केवल Python तक सीमित नहीं रहेंगे, बल्कि अन्य open source package repositories (जैसे npm, Cargo आदि) में भी पुन: उपयोग योग्य रूप से डिज़ाइन किए जाएंगे, ताकि पूरे open source ecosystem की सुरक्षा का स्तर बेहतर हो सके।

  1. मौजूदा roadmap से जुड़ाव
    यह सुरक्षा सुदृढ़ीकरण कार्य Alpha-Omega project द्वारा समर्थित PSF के Security Developer in Residence Seth Larson और PyPI Safety and Security Engineer Mike Fiedler के मौजूदा security roadmap पर आगे बढ़ेगा। Anthropic की फंडिंग का उपयोग उनके roadmap को तेज़ करने में किया जाएगा।

  2. Python core infrastructure और community समर्थन
    सुरक्षा के अलावा, यह निवेश PSF के core operations को भी समर्थन देगा।

  • CPython development का नेतृत्व करने वाले 'Developer in Residence' program के लिए समर्थन
  • community grants और program operations
  • PyPI जैसी core infrastructure की maintenance और operational costs को पूरा करना

संबंधित पढ़ाई

4 टिप्पणियां

 
gguimoon 2026-01-14

"capability analysis" आधारित सुरक्षा टूल से क्या मतलब है?
 
darjeeling 2026-01-14

शायद वे package डाउनलोड करके code चलाते हैं, unpack करते हैं, या static analysis, dynamic analysis जैसी चीजें करके देखते हैं कि code क्या करता है। ज़्यादातर malware ऐसे ही फैलता है।
 
darjeeling 2026-01-14

मैंने Gemini से इसे समझाने के लिए कहा था। मैं भी dedicated security person नहीं हूँ, इसलिए मुझे भी ठीक से नहीं पता।

[गहन रिपोर्ट: PyPI और OpenSSF जिस अगली पीढ़ी की security technology 'Capability Analysis' पर ध्यान दे रहे हैं]

हाल के समय में open source ecosystem को निशाना बनाने वाले supply chain attacks अधिक sophisticated होते जा रहे हैं, इसलिए PyPI(Python Package Index) और OpenSSF(Open Source Security Foundation) पारंपरिक pattern matching approach से आगे बढ़कर 'Capability Analysis(क्षमता/कार्य-विश्लेषण)' को अपनाने की रफ्तार तेज कर रहे हैं।

इस तकनीक का मूल यह है कि पैकेज "खुद को क्या बताता है" यह नहीं, बल्कि "वास्तव में वह क्या कर सकता है" इसे समझा जाए।

  1. Capability Analysis(कार्य-विश्लेषण) क्या है?

यदि पारंपरिक virus scan 'wanted list(ज्ञात malware signatures)' से मिलान करने जैसा था, तो Capability Analysis पैकेज की 'behavioral capability' की जांच करने का तरीका है।

चाहे कोई पैकेज खुद को सामान्य utility की तरह छिपाए, लेकिन सिस्टम पर नियंत्रण पाने या जानकारी चुराने के लिए उसे अनिवार्य रूप से operating system के कुछ खास resources(network, files, processes) का उपयोग करना ही पड़ता है। यह analysis तकनीक ट्रैक करती है कि कोड चलाते समय पैकेज नीचे दिए गए जैसे 'sensitive capabilities' का इस्तेमाल करता है या नहीं।

  • नेटवर्क(Network): क्या install script चुपके से बाहरी IP पर data exfiltration करती है या communication की कोशिश करती है?
  • फाइल सिस्टम(FileSystem): क्या यह SSH keys, AWS credentials, /etc/passwd जैसी sensitive files तक पहुंचने या उन्हें modify करने की कोशिश करता है?
  • प्रोसेस execution(Execution): क्या यह shell commands चलाता है, या code को dynamically generate करके (eval, exec) child process बनाता है?
  1. वास्तविक उपयोग और अनुमानित मुख्य security tools

वर्तमान में OpenSSF project और security research groups इस analysis को करने के लिए नीचे दिए गए tools विकसित कर रहे हैं और उन्हें pipeline में लागू कर रहे हैं।

A. OpenSSF Package Analysis (आधिकारिक project)
- अवलोकन: OpenSSF के नेतृत्व वाला यह project PyPI या NPM पर अपलोड किए गए packages को isolated sandbox environment में वास्तव में install और execute करके देखता है।
- काम करने का तरीका: जब पैकेज चलता है, तब होने वाले system calls को kernel level पर intercept किया जाता है, और "इस पैकेज ने installation के दौरान 192.168.x.x से connect करने की कोशिश की" जैसे behavioral data इकट्ठा किए जाते हैं।
- tech stack: gVisor(sandbox), Strace(system call tracing) आदि का उपयोग किया जाता है।

B. Packj (पैकजे)
- अवलोकन: academia(Georgia Tech आदि) के research पर आधारित यह tool पैकेज की 'risky capabilities' को tag करने में विशेष रूप से सक्षम है।
- काम करने का तरीका: यह static analysis और dynamic analysis दोनों का साथ में उपयोग करता है। source code में sensitive API calls ढूंढता है, और package metadata का analysis करके यह तय करता है कि क्या यह 'abandoned package' है, या 'typosquatting(नाम की नकल)' का मामला है।
- विशेषता: यह "यह पैकेज एक audio library है, लेकिन इसमें network communication और address book access जैसी capabilities हैं" जैसे असामान्य permission combinations को detect करता है।

C. GuardDog (गार्डडॉग)
- अवलोकन: Datadog द्वारा जारी किया गया CLI tool, जो Semgrep(static analysis engine) का उपयोग करके malicious patterns खोजता है।
- काम करने का तरीका: यह पैकेज के भीतर छिपे obfuscated code, miner scripts, executable downloaders जैसी 'malicious functionality' वाले code patterns(heuristics) की पहचान करता है।

D. Falco (फाल्को) & Sysdig
- अवलोकन: ये cloud-native environment के runtime security tools हैं।
- भूमिका: container के भीतर पैकेज चलते समय होने वाले abnormal behaviors (जैसे unexpected shell access, sensitive files को पढ़ना) को real time में detect करने वाले engine के रूप में उपयोग किए जाते हैं।

  1. संबंधित संदर्भ सामग्री और links

इस तकनीक को और गहराई से समझने के लिए आप मूल projects और blogs देख सकते हैं।
 
gguimoon 2026-01-14

विस्तृत सामग्री और सारांश के लिए धन्यवाद। मैंने शुरुआत में सोचा था कि यह Linux की Capabilities जैसी कोई चीज़ है, लेकिन लगता है कि यह dynamic analysis तक शामिल करने वाला तरीका है।