Anthropic, PSF'ye (Python Software Foundation) 1,5 milyon dolar yatırım yaptı ve PyPI güvenliğini güçlendirmek için iş birliğine gidiyor

 (pyfound.blogspot.com)
3 puan yazan darjeeling 2026-01-13 | 4 yorum | WhatsApp'ta paylaş

Özet:

  • Anthropic, PSF ile 2 yıllık bir ortaklık kurdu ve Python ekosisteminin güvenliği ile sürdürülebilirliği için toplam 1,5 milyon dolar yatırım yaptı.
  • Ana hedef, PyPI (Python Package Index) tedarik zinciri güvenliğini güçlendirmek; bu kapsamda paket yüklemeleri sırasında etkin otomatik inceleme (automated proactive review) araçlarının geliştirilmesine odaklanılıyor.
  • Bilinen kötü amaçlı yazılım veri kümeleri oluşturularak yetenek analizi (capability analysis) tabanlı güvenlik araçları tasarlanacak ve bunların diğer açık kaynak ekosistemlerine de genişletilmesi planlanıyor.

Ayrıntılı özet:

  1. Yatırımın kapsamı ve arka planı
    Yapay zeka modeli Claude'un geliştiricisi Anthropic, Python Software Foundation (PSF) ile 2 yıllık bir ortaklık kurarak 1,5 milyon dolar bağış yaptı. Bu adım, Python'ın yapay zeka geliştirmedeki bir "lingua franca (ortak dil)" olarak taşıdığı önemin kabulü niteliğinde ve Python ekosisteminin genelindeki güvenlik ile sürdürülebilirliği artırmak için kullanılacak.

  2. Açık kaynak güvenliğinde yenilik: PyPI tedarik zinciri savunması
    Yatırımın odağında CPython ve PyPI güvenliğinin ileri taşınması yer alıyor.

  • Etkin incelemeye (Proactive Review) geçiş: Mevcut olay sonrası tepki veren (reactive) yaklaşımdan uzaklaşılarak, PyPI'ye yüklenen tüm paketleri önceden otomatik olarak inceleyen yeni araçlar geliştirilecek.
  • Teknik yaklaşım: Bunun için yeni bir bilinen kötü amaçlı yazılım veri kümesi oluşturulacak ve "yetenek analizi (capability analysis)" temelli tespit araçları tasarlanacak.
  • Ekosistem ölçeklenebilirliği: Bu projenin çıktıları yalnızca Python ile sınırlı kalmayacak; diğer açık kaynak paket depolarında da (ör. npm, Cargo vb.) yeniden kullanılabilecek şekilde tasarlanarak açık kaynak ekosisteminin genel güvenlik seviyesini yükseltmeyi hedefleyecek.

  1. Mevcut yol haritasıyla bağlantı
    Bu güvenlik güçlendirme çalışması, Alpha-Omega projesinin desteklediği PSF Security Developer in Residence Seth Larson ile PyPI Safety and Security Engineer Mike Fiedler'ın mevcut güvenlik yol haritası üzerine inşa ediliyor. Anthropic'in sağladığı kaynak, bu yol haritasını hızlandırmak için kullanılacak.

  2. Python çekirdek altyapısı ve topluluk desteği
    Güvenliğin yanı sıra yatırım, PSF'nin temel operasyonlarını da destekleyecek.

  • CPython geliştirmesini yönlendiren Developer in Residence programının desteklenmesi
  • Topluluk hibeleri (Grants) ve program operasyonları
  • PyPI gibi çekirdek altyapının bakım ve işletme maliyetlerinin karşılanması

İlgili okumalar

4 yorum

 
gguimoon 2026-01-14

"Yetenek analizi (capability analysis) tabanlı güvenlik aracı" tam olarak nedir?
 
darjeeling 2026-01-14

Bunu Gemini’ye açıklatmayı denedim. Ben de özel olarak güvenlik tarafında olmadığım için pek bilmiyorum.

[Derinlemesine rapor: PyPI ve OpenSSF’nin dikkat çektiği yeni nesil güvenlik teknolojisi “Capability Analysis”]

Son dönemde açık kaynak ekosistemini tehdit eden tedarik zinciri saldırıları daha da sofistike hale gelirken, PyPI (Python Package Index) ve OpenSSF (Open Source Security Foundation), mevcut desen eşleştirme yaklaşımının ötesine geçen “Capability Analysis”ın devreye alınmasını hızlandırıyor.

Bu teknolojinin özü, paketin “ne gibi davrandığına” değil, “gerçekte neler yapabildiğine” bakmaktır.

  1. Capability Analysis (yetenek analizi) nedir?

Geleneksel virüs taraması “arananlar listesi”ni (bilinen kötü amaçlı yazılım imzaları) karşılaştırıyorsa, Capability Analysis paketin “davranış yeteneklerini” doğrulayan bir yöntemdir.

Ne kadar normal bir yardımcı araç gibi gizlenmiş olursa olsun, sistemi ele geçirmek ya da bilgi çalmak için işletim sisteminin belirli kaynaklarını (ağ, dosya, süreç) mutlaka kullanması gerekir. Bu analiz tekniği, paket kod çalıştırırken aşağıdaki gibi “hassas yetkileri (Capabilities)” kullanıp kullanmadığını izler.

  • Ağ (Network): Kurulum betiği gizlice harici bir IP’ye veri sızdırmaya (Exfiltration) ya da iletişim kurmaya çalışıyor mu?
  • Dosya sistemi (FileSystem): SSH anahtarları, AWS kimlik bilgileri, /etc/passwd gibi hassas dosyalara erişmeye ya da bunları değiştirmeye çalışıyor mu?
  • Süreç çalıştırma (Execution): Shell komutları çalıştırıyor ya da dinamik olarak kod üretip (eval, exec) alt süreçler oluşturuyor mu?
  1. Gerçek kullanım ve temel olduğu düşünülen güvenlik araçları

Şu anda OpenSSF projeleri ve güvenlik araştırma grupları, bu analizi gerçekleştirmek için aşağıdaki araçları geliştirip boru hatlarına uyguluyor.

A. OpenSSF Package Analysis (resmî proje)
- Genel bakış: OpenSSF’nin öncülük ettiği bu proje, PyPI veya NPM’e yüklenen paketleri izole edilmiş bir sandbox ortamında gerçekten kurup çalıştırıyor.
- Çalışma mantığı: Paket çalışırken oluşan sistem çağrılarını (System Calls) çekirdek seviyesinde yakalayarak, “bu paket kurulum sırasında 192.168.x.x adresine bağlanmayı denedi” gibi davranış verilerini topluyor.
- Teknoloji yığını: gVisor (sandbox), Strace (sistem çağrısı izleme) gibi araçlardan yararlanıyor.

B. Packj
- Genel bakış: Akademik araştırmalara (Georgia Tech vb.) dayanılarak geliştirilen bu araç, paketin “riskli yeteneklerini (Risky Capabilities)” etiketlemeye odaklanıyor.
- Çalışma mantığı: Statik analiz ile dinamik analizi birlikte kullanıyor. Kaynak kod içinde hassas API çağrılarını tespit ediyor ve paket meta verisini analiz ederek bunun “terk edilmiş bir paket” mi, “typosquatting (isim taklidi)” mi olduğunu belirliyor.
- Özellik: “Bu paket bir ses kütüphanesi ama ağ iletişimi ve adres defterine erişim işlevleri var” gibi anormal yetki kombinasyonlarını algılıyor.

C. GuardDog
- Genel bakış: Datadog tarafından açıklanan bir CLI aracı; Semgrep (statik analiz motoru) kullanarak kötü amaçlı örüntüleri buluyor.
- Çalışma mantığı: Paket içinde gizlenmiş obfuscation kodları, madenci betikleri, çalıştırılabilir dosya indiricileri gibi “kötü amaçlı işlevlerin” uygulanmış olduğu kod örüntülerini (Heuristics) tespit ediyor.

D. Falco & Sysdig
- Genel bakış: Bulut yerel ortamlara yönelik çalışma zamanı güvenlik araçlarıdır.
- Rol: Paketin container içinde çalışması sırasında ortaya çıkan anormal davranışları (ör. beklenmeyen shell erişimi, hassas dosya okuma) gerçek zamanlı tespit eden bir motor olarak kullanılır.

  1. İlgili başvuru materyalleri ve bağlantılar

Bu teknolojiyi daha derinlemesine anlamak için orijinal proje ve blog yazılarına bakabilirsiniz.
 
gguimoon 2026-01-14

Ayrıntılı bilgi ve özet için teşekkürler. Başta bunun Linux’taki Capabilities’e benzer bir şey olduğunu düşünmüştüm, ama anlaşılan dinamik analizi de içeren bir yaklaşımmış.
 
darjeeling 2026-01-14

Sanırım paketi indirip kodu çalıştırarak, açarak ya da statik analiz ve dinamik analiz gibi yöntemlerle kodun ne yaptığını inceliyorlar. Kötü amaçlı yazılımlar genelde bu şekilde yayılıyor.