Python разрешит инструментам безопасности «заглядывать» в среду выполнения

В языке программирования Python появится новая функция, позволяющая решениям безопасности видеть, когда Python осуществляет потенциально опасные операции.

В своем настоящем виде Python не позволяет инструментам безопасности видеть, что происходит в среде выполнения кода. Злоумышленники могут использовать это для выполнения на системе вредоносных операций в обход аудиторских инструментов. Вредоносные операции будут оставаться незамеченными до тех пор, пока одна из них не вызовет ошибку и не привлечет к себе внимание.

В Python Enhancement Proposal 551 ( PEP-551 ) главный разработчик ядра Python Стив Доуэр (Steve Dower) предложил добавить в язык программирования два новых API, позволяющих инструментам безопасности обнаруживать, когда Python выполняет потенциально опасные операции. Новые API (Audit Hook и Verified Open Hook) будут деактивированы по умолчанию.

Audit Hook сможет отправлять предупреждения о некоторых операциях Python. Инструменты безопасности будут понимать эти предупреждения как сигнал о потенциальной опасности и останавливать операции в целях предотвращения возможного ущерба. Verified Open Hook представляет собой механизм, позволяющий среде выполнения Python знать, каким файлам разрешено выполняться.

Доуэр представил PEP-551 в августе прошлого года. Изначально предполагалось, что предложения будут реализованы в версии Python 3.7, запланированной к выходу на середину июня 2018 года. Однако в списке реализованных в Python 3.7 новых функций вышеупомянутые API отсутствуют. Не исключено, что они появятся в будущих версиях.

PEP – предложения по развитию Python. Процесс PEP является основным механизмом для предложения новых возможностей и для документирования реализованных в Python проектных решений.

Источник