Astral запускает направление безопасности для Python — создатели Ruff и uv займутся supply chain

Компания, переизобретившая Python-тулинг с Ruff и uv, теперь займётся безопасностью. В планах — аудит зависимостей и обнаружение вредоносных пакетов, интегрированные прямо в рабочий процесс.

Новости Tproger
Обложка: Astral запускает направление безопасности для Python — создатели Ruff и uv займутся supply chain

Если вы используете Ruff или uv — их создатели теперь займутся и безопасностью ваших Python-зависимостей. Компания Astral объявила о запуске направления open source безопасности для Python-экосистемы.

Astral — компания, стоящая за Ruff (линтер для Python, заменяющий flake8, isort и десятки других инструментов) и uv (менеджер пакетов Python, в 10–100 раз быстрее pip). Оба инструмента написаны на Rust и стали стандартом де-факто для многих Python-команд.

Ключевые выводы
  • Astral (создатели Ruff и uv) запускает направление безопасности для Python-экосистемы
  • Фокус — аудит зависимостей, обнаружение уязвимых и вредоносных пакетов в supply chain
  • Инструменты будут open source и интегрированы с существующей экосистемой Astral
  • Python — одна из главных мишеней supply chain атак наряду с npm

Зачем это нужно

Python-экосистема — одна из главных мишеней supply chain атак. Только за последний год в PyPI фиксировали сотни вредоносных пакетов: от криптомайнеров до стилеров. Злоумышленники регулярно публикуют пакеты с опечатками в названиях (typosquatting) или внедряют вредоносный код в легитимные пакеты.

Существующие инструменты (pip-audit, safety, Snyk) работают, но не интегрированы с современным Python-тулингом. Astral хочет встроить безопасность прямо в рабочий процесс — на уровне uv и Ruff, где разработчик и так проводит время.

Что планируется

  • Аудит зависимостей — проверка lock-файлов на известные уязвимости (CVE)
  • Обнаружение вредоносных пакетов — статический анализ кода пакетов на подозрительное поведение
  • Интеграция с uv — проверка безопасности при установке и обновлении зависимостей
  • Open source — все инструменты будут открытыми, как Ruff и uv

Почему это важно

Astral уже доказали, что могут переизобрести Python-тулинг: Ruff заменил десяток линтеров, uv заменил pip, pip-tools, virtualenv и pyenv. Если они применят тот же подход к безопасности — аудит зависимостей станет таким же быстрым и удобным, как линтинг с Ruff.

Для Python-разработчиков в России это особенно актуально: многие используют локальные зеркала PyPI или корпоративные реестры, где контроль целостности пакетов — отдельная головная боль.

Частые вопросы
1
Когда будут доступны инструменты безопасности от Astral?

Точных дат пока нет. Astral объявила о направлении, но конкретные инструменты ещё в разработке. Следите за блогом на astral.sh и репозиториями на GitHub.

2
Заменит ли это pip-audit и safety?

Скорее всего, да — если Astral выпустит инструмент с аналогичной функциональностью, интегрированный в uv. Как Ruff заменил flake8+isort, так и новый инструмент может заменить pip-audit+safety.

Следить за развитием: блог Astral, GitHub.

В этой статье
  1. Ключевые выводы
  2. Зачем это нужно
  3. Что планируется
  4. Почему это важно
  5. Частые вопросы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter