Anthropic Berinvestasi 1,5 Juta Dolar ke PSF (Python Software Foundation) dan Bekerja Sama Memperkuat Keamanan PyPI

 (pyfound.blogspot.com)
3 poin oleh darjeeling 2026-01-13 | 4 komentar | Bagikan ke WhatsApp

Ringkasan:

  • Anthropic menjalin kemitraan selama 2 tahun dengan PSF dan menginvestasikan total 1,5 juta dolar untuk keamanan dan keberlanjutan ekosistem Python.
  • Tujuan utamanya adalah memperkuat keamanan rantai pasok PyPI (Python Package Index), dengan fokus pada pengembangan alat automated proactive review saat paket diunggah.
  • Mereka berencana membangun dataset malware yang telah diketahui untuk merancang alat keamanan berbasis capability analysis, lalu memperluasnya ke ekosistem open source lainnya.

Ringkasan detail:

  1. Gambaran investasi dan latar belakang
    Anthropic, pengembang model AI Claude, menjalin kemitraan selama 2 tahun dengan Python Software Foundation (PSF) dan menyumbangkan 1,5 juta dolar. Ini merupakan pengakuan atas pentingnya Python sebagai 'lingua franca (bahasa bersama)' dalam pengembangan AI, dan dana tersebut akan digunakan untuk meningkatkan keamanan serta keberlanjutan di seluruh ekosistem Python.

  2. Inovasi keamanan open source: pertahanan rantai pasok PyPI
    Inti dari investasi ini adalah peningkatan keamanan CPython dan PyPI.

  • Peralihan ke proactive review: meninggalkan pendekatan reactive yang ada, dan mengembangkan alat baru untuk secara otomatis meninjau semua paket yang diunggah ke PyPI terlebih dahulu.
  • Pendekatan teknis: untuk itu, mereka akan membangun dataset malware yang telah diketahui dan merancang alat deteksi berbasis 'capability analysis'.
  • Ekstensibilitas ekosistem: hasil proyek ini dirancang agar tidak terbatas pada Python saja, tetapi juga dapat digunakan kembali di repositori paket open source lain (misalnya npm, Cargo, dll.), dengan tujuan meningkatkan tingkat keamanan seluruh ekosistem open source.

  1. Keterkaitan dengan roadmap yang ada
    Pekerjaan penguatan keamanan kali ini akan diperluas di atas roadmap keamanan yang telah dijalankan oleh Seth Larson, Security Developer in Residence PSF yang didukung proyek Alpha-Omega, serta Mike Fiedler, Safety and Security Engineer PyPI. Pendanaan dari Anthropic akan digunakan untuk mempercepat roadmap mereka.

  2. Dukungan untuk infrastruktur inti Python dan komunitas
    Selain keamanan, dana investasi ini juga akan mendukung operasi inti PSF.

  • Dukungan untuk program 'Developer in Residence' yang memimpin pengembangan CPython
  • Operasional hibah komunitas (Grants) dan program
  • Menutup biaya pemeliharaan dan operasional infrastruktur inti seperti PyPI

Bacaan terkait

4 komentar

 
gguimoon 2026-01-14

Apa yang dimaksud dengan "alat keamanan berbasis analisis kapabilitas (capability analysis)"?
 
darjeeling 2026-01-14

Saya coba minta Gemini menjelaskannya. Saya juga bukan orang yang khusus menangani keamanan, jadi kurang paham juga.

[Laporan mendalam: Teknologi keamanan generasi berikutnya 'Capability Analysis' yang diperhatikan PyPI dan OpenSSF]

Seiring serangan rantai pasok yang mengancam ekosistem open source belakangan ini makin canggih, PyPI (Python Package Index) dan OpenSSF (Open Source Security Foundation) mempercepat penerapan 'Capability Analysis (analisis kemampuan/kapabilitas)' yang melampaui pendekatan pencocokan pola tradisional.

Inti teknologi ini adalah menembus bukan "apa yang diklaim sebuah paket", melainkan "apa yang benar-benar bisa dilakukannya".

  1. Apa itu Capability Analysis (analisis kapabilitas)?

Jika pemeriksaan virus konvensional bekerja dengan mencocokkan "daftar buronan (signature malware yang sudah dikenal)", maka Capability Analysis memverifikasi "kemampuan perilaku" sebuah paket.

Sekalipun menyamar sebagai utilitas normal, untuk mengambil alih sistem atau mencuri informasi, paket itu pada akhirnya harus menggunakan sumber daya tertentu milik sistem operasi (jaringan, file, proses). Teknik analisis ini melacak apakah paket menjalankan 'hak istimewa sensitif (Capabilities)' berikut saat mengeksekusi kode.

  • Network: Apakah skrip instalasi diam-diam mengirim data ke IP eksternal (Exfiltration) atau mencoba berkomunikasi?
  • FileSystem: Apakah ia mencoba mengakses atau memodifikasi file sensitif seperti SSH key, kredensial AWS, /etc/passwd, dan lain-lain?
  • Execution: Apakah ia menjalankan perintah shell, atau membuat subproses dengan menghasilkan kode secara dinamis (eval, exec)?
  1. Penggunaan nyata dan alat keamanan inti yang diperkirakan digunakan

Saat ini, dalam proyek OpenSSF dan kelompok riset keamanan, alat-alat berikut sedang dikembangkan dan diterapkan ke pipeline untuk melakukan analisis ini.

A. OpenSSF Package Analysis (proyek resmi)
- Ringkasan: Proyek yang dipimpin OpenSSF ini benar-benar memasang dan menjalankan paket yang diunggah ke PyPI atau NPM di lingkungan sandbox terisolasi.
- Cara kerja: Dengan mencegat system call yang terjadi saat paket dijalankan pada level kernel, sistem ini mengumpulkan data perilaku seperti "paket ini mencoba terhubung ke 192.168.x.x selama instalasi".
- Tumpukan teknologi: Memanfaatkan gVisor (sandbox), Strace (pelacakan system call), dan sebagainya.

B. Packj
- Ringkasan: Alat yang dikembangkan berdasarkan riset akademik (Georgia Tech dan lainnya), dan dikhususkan untuk memberi tag pada 'Risky Capabilities' sebuah paket.
- Cara kerja: Menggabungkan analisis statis dan analisis dinamis. Ia menemukan pemanggilan API sensitif dalam source code, lalu menganalisis metadata paket untuk menentukan apakah itu 'paket yang ditinggalkan' atau 'typosquatting (peniruan nama)', dan sebagainya.
- Ciri khas: Mendeteksi kombinasi izin yang tidak normal seperti "paket ini adalah library audio, tetapi memiliki fungsi komunikasi jaringan dan akses buku alamat".

C. GuardDog
- Ringkasan: Alat CLI yang dirilis Datadog, memanfaatkan Semgrep (mesin analisis statis) untuk menemukan pola berbahaya.
- Cara kerja: Mengidentifikasi pola kode (Heuristics) yang mengimplementasikan 'fungsi berbahaya', seperti kode yang diobfuscate, skrip miner, atau downloader file eksekusi yang disembunyikan di dalam paket.

D. Falco & Sysdig
- Ringkasan: Alat keamanan runtime untuk lingkungan cloud-native.
- Peran: Digunakan sebagai engine untuk mendeteksi secara real-time perilaku tidak normal yang terjadi saat paket dijalankan di dalam container (misalnya koneksi shell tak terduga atau pembacaan file sensitif).

  1. Materi referensi dan tautan terkait

Untuk pemahaman yang lebih mendalam tentang teknologi ini, Anda dapat merujuk ke proyek asli dan blog berikut.
 
gguimoon 2026-01-14

Terima kasih atas materi dan ringkasannya yang detail. Awalnya saya kira ini mirip dengan Capabilities di Linux, tetapi ternyata pendekatannya mencakup hingga analisis dinamis.
 
darjeeling 2026-01-14

Setahu saya, mereka mungkin mengunduh paketnya lalu menjalankan dan mengekstraknya, atau melakukan analisis statis maupun dinamis untuk melihat apa yang dilakukan kode tersebut. Biasanya malware menyebar dengan cara seperti itu.