鈴木たかのり （@takanory） です。今月の 「Python Monthly Topics」 では、Pythonのパッケージを公開するときに、デジタル証明書 （Digital attestations） を用いてより安全に公開する方法について紹介します。 PEP 740の提案とその背景 この機能はPEP 740によって2024年1月 ...

Fortinetは1月14日(米国時間)、「Supply Chain Attack Using Identical PyPI Packages, “colorslib”, “httpslib”, and “libhttps”｜FortiGuard Labs」において、PyPI (Python Package ...

Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報を ...

門脇 （@satoru_kadowaki） です。3月の 「Python Monthly Topics」 は、Rust製のパッケージ管理ツール 「uv」 について紹介します。 はじめに どのようなプログラミング言語においても、仮想環境の構築やパッケージ管理は重要です。本記事でいう 「仮想環境」 とは ...

Pythonプロジェクトにおける依存関係の管理は、ソフトウェア開発において不可欠な側面です。プロジェクトが成長し、複雑になるにつれて、外部ライブラリやパッケージへの依存度が高まります。 これらの依存関係を適切に管理しないと、バージョン間の非 ...

Checkmarxは7月26日(米国時間)、「Malicious Python Package Targets macOS Developers」において、macOS開発者を標的とする悪意のあるPythonパッケージをPythonパッケージリポジトリ「PyPI」から発見したと報じた。開発者がこのPythonパッケージをインストールすると、Google Cloudの ...

Pythonライブラリである、高速なパッケージ管理uvを紹介します。 ※欲しい所だけ抽出し、残りは公式Docsをそのまま参照しています。 uvはAstral社（Python静的解析ツールRuffの開発者）がRustで開発した高速なPythonパッケージ管理ツールです。2024年の2月中旬に ...

ESETは12月12日(現地時間)、「A pernicious potpourri of Python packages in PyPI」において、公式Pythonパッケージリポジトリ「PyPI」にWindowsおよびLinux環境を標的とする悪意のあるPythonプロジェクトのクラスタを発見したとして、注意を喚起した。 53のプロジェクトから116個 ...