Anthropic investit 1,5 million de dollars dans la PSF (Python Software Foundation) et collabore au renforcement de la sécurité de PyPI

Résumé :

• Anthropic a conclu un partenariat de deux ans avec la PSF et investit au total 1,5 million de dollars pour la sécurité et la pérennité de l’écosystème Python.
• L’objectif principal est de renforcer la sécurité de la chaîne d’approvisionnement de PyPI (Python Package Index), avec un accent sur le développement d’outils d’automated proactive review lors du téléversement des paquets.
• Un jeu de données de malwares connus sera constitué afin de concevoir des outils de sécurité fondés sur l’capability analysis, avec un projet d’extension à d’autres écosystèmes open source.

Résumé détaillé :

1. Aperçu de l’investissement et contexte
   Anthropic, l’entreprise qui développe le modèle d’IA Claude, a conclu un partenariat de deux ans avec la Python Software Foundation (PSF) et a fait un don de 1,5 million de dollars. Cette initiative reconnaît l’importance de Python en tant que « lingua franca » du développement de l’IA, et ces fonds seront utilisés pour améliorer la sécurité et la pérennité de l’ensemble de l’écosystème Python.

2. Innovation en sécurité open source : défense de la chaîne d’approvisionnement de PyPI
   Le cœur de cet investissement porte sur le renforcement de la sécurité de CPython et de PyPI.

• Passage à une revue proactive (Proactive Review) : en abandonnant l’approche réactive existante, de nouveaux outils seront développés pour examiner automatiquement à l’avance tous les paquets téléversés sur PyPI.
• Approche technique : pour cela, un nouveau jeu de données de malwares connus sera constitué, et des outils de détection fondés sur la capability analysis seront conçus.
• Extensibilité à l’écosystème : les résultats de ce projet ne seront pas limités à Python ; ils seront conçus pour être réutilisables dans d’autres dépôts de paquets open source (par exemple npm, Cargo, etc.), avec pour objectif d’élever le niveau global de sécurité de l’écosystème open source.

3. Articulation avec la feuille de route existante
   Ce travail de renforcement de la sécurité s’appuie sur la feuille de route déjà portée par Seth Larson, Security Developer in Residence de la PSF soutenu par le projet Alpha-Omega, ainsi que par Mike Fiedler, ingénieur sécurité et sûreté de PyPI. Le financement d’Anthropic servira à accélérer cette feuille de route.

4. Soutien à l’infrastructure centrale de Python et à la communauté
   Au-delà de la sécurité, cet investissement soutiendra également les opérations essentielles de la PSF.

• Soutien au programme Developer in Residence, qui pilote le développement de CPython
• Financement des subventions communautaires (Grants) et de l’exploitation des programmes
• Couverture des coûts de maintenance et d’exploitation des infrastructures essentielles comme PyPI