Los documentos de lista de materiales de software program (SBOM) se utilizarían en Pitón paquetes como un medio para mejorar su “mensurabilidad” y abordar el problema de las “dependencias fantasma” en los paquetes de Python, bajo una propuesta de mejora de Python (PEP) que ahora se está planteando en python.org.
Al explicar la motivación detrás de la propuesta, creada el 2 de enero, los autores afirman que los paquetes de Python se ven particularmente afectados por un dependencia fantasma problema, lo que significa que a menudo incluyen componentes de software program no escritos en Python por motivos como compatibilidad con estándares, facilidad de instalación o casos de uso como aprendizaje automático que utilizan bibliotecas compiladas de C, C++, Óxido, fortrany otros idiomas. La propuesta señala que los usuarios prefieren el formato de rueda de Python debido a su facilidad de instalación, pero este formato requiere agrupar bibliotecas compiladas compartidas sin un método para codificar metadatos sobre ellas. Además, los paquetes relacionados con el empaquetado de Python a veces necesitan resolver el problema de arranque, por lo que se incluyen proyectos de Python puros dentro del código fuente, pero estos componentes de software program tampoco se pueden describir utilizando los metadatos del paquete de Python y, por lo tanto, es possible que las herramientas SCA los pasen por alto, lo que puede significar Los componentes de software program vulnerables no se informan con precisión. La inclusión de un documento SBOM que anote todas las bibliotecas incluidas permitiría que las herramientas SCA identifiquen de manera confiable el software program incluido.
Debido a que SBOM es un método independiente de la tecnología y el ecosistema para describir la composición, procedencia, herencia y más del software program, y debido a que los SBOM se utilizan como entradas para herramientas de análisis de composición de software program (SCA), como escáneres de vulnerabilidades y licencias, los SBOM podrían se utilizará para mejorar la mensurabilidad de los paquetes de Python, afirma la propuesta. Además, los SBOM son requeridos por regulaciones de seguridad recientes, como la Marco de desarrollo de software program seguro (SSDF). Debido a estas regulaciones, se espera que la demanda de documentos SBOM de proyectos de código abierto siga siendo alta, según la propuesta. Por ello, el PEP propone utilizar documentos SBOM en paquetes Python. La propuesta delega metadatos específicos de SBOM a documentos SBOM incluidos en paquetes de Python y agrega un campo de metadatos central para la capacidad de descubrimiento de los documentos SBOM incluidos.
