英國國家網絡安全中心(NCSC)建議開發人員在即將到來的生命週期中丟棄Python2.x。
攻擊者可以大規模啟動基於Python2的應用程序,因為它們將來不會接收安全更新。
Python2的壽命(EOL)計劃於2020年1月1日進行。“Python2.7將不會保持在2020年之前。最初,沒有正式的日期。最近,該日期已更新為2020年1月1日。該時鐘被相應地更新。我最初的想法是,在Pycon2020舉辦一次Python2慶祝活動派對,慶祝Python2為我們所做的一切。那個想法仍然存在。(如果這聽起來很有趣,電子郵件[email protected])。”閱讀官方網站上的公告。
開發人員必須遷移到新的3.x分支以避免安全風險,NCSC警告不會移動到新版本的組織的危險。“因此,如果您仍然使用2.x,則將代碼插入Python3的時間。
如果您繼續使用不受支持的模塊,您可能會冒著您的組織和數據的安全性風險,因為漏洞遲早會出現,其中沒有人被固定。”閱讀NSC的公告。“如果您維護其他開發人員依賴的庫,則可能會阻止它們更新為3。通過讓其他開發人員回來,您可以間接和可能無意地增加其他開發人員的安全風險。您可能不會在您的組織之外發布任何代碼,而是考慮您的同事,這些同事也可能在內部使用您的代碼。”
NCSC提供了使用Python3實現的最新功能的列表,還建議開發人員可以使用一些工具來遷移它們的代碼。“如果不可能將代碼庫遷移到Python3,則另一個選項是為您支付商業公司以支持Python2。”繼續NSC。“至少有一家公司已經宣佈了Python2和Python2第三方軟件包的支持包。”英國機構強調遷移到較新版本的重要性,修補是用戶可以為確保其應用和基礎設施所做的最基本的事情之一。NCSC警告,遷移中的延遲可能為像WannacryRansomware或EquifaxHack這樣的事件創建條件。“如果您運行不受支持的軟件,WannacryRansomware提供了一個經典示例。它感染了超過230,000臺計算機,造成全球的重大中斷。最近,等傳真違約導致了高達7億美元的結算。”結束了該機構。"
通過決定繼續使用Python2的生命週期結束,您將接受使用不受支持的軟件附帶的所有風險,同時知道安全版本可用。專家們指出,許多受歡迎的項目(如NumPy和Requests)將不再支持Python2.x到2020年,這意味著,如果希望包含其模塊的用戶需要遷移到Python3。“等待更新的時間越長,您的依賴關係的Python3版本越多,更新就越難。”快點!去Python3!PierigiPaganini尼(安全事務-Python、黑客攻擊)