uv audit incelendi: pip-audit'e göre hızlı ama sınırlı bir kapı
Astral'in uv paket yöneticisine eklenen uv audit ve UV_MALWARE_CHECK özellikleri gerçek bir projede test edildi; pip-audit ile karşılaştırıldı, sınırları ortaya çıktı.
Astral, Python paket yöneticisi uv'ye 8 Haziran'da iki yeni güvenlik özelliği ekledi: bağımlılık zafiyeti tarayan uv audit ve kurulum anında kötü amaçlı paketleri engelleyen UV_MALWARE_CHECK. İkisi de henüz preview aşamasında ve OSV veritabanındaki bilinen kayıtlarla eşleşme yapıyor; paket içeriğini gerçek anlamda analiz eden bir antivirüs gibi çalışmıyorlar. Yazar, kasıtlı olarak eski ve zafiyetli sürümlerle (flask 0.12.2, requests 2.19.1 gibi) doldurulmuş bir test projesi kurup uv audit'i pip-audit ile aynı lockfile üzerinde karşılaştırdı; 13 pakette 48 bilinen zafiyet tespit edildi.
uv audit sadece rapor üretiyor, hiçbir şeyi engellemiyor; text, json ve SARIF çıktı formatlarıyla CI hattına (özellikle GitHub Code Scanning'e) entegre olacak şekilde tasarlanmış. Zafiyeti olan projede çıkış kodu 1, temiz projede 0 dönüyor, bu da tek satırlık bir komutla CI'ı kırmızıya çevirebiliyor. --ignore bayrağı bir GHSA kimliğini gizlerken ona bağlı CVE ve PYSEC takma adlarını da otomatik olarak bastırıyor; --ignore-until-fixed ise düzeltme hiç yayınlanmazsa kalıcı bir kör noktaya dönüşebiliyor.
Asıl kritik nokta, bu mekanizmaların sınırları. Hem uv audit hem de UV_MALWARE_CHECK, paketleri havaalanı taramasından çok 'no-fly list' mantığıyla kontrol ediyor: bilinen kötü isim-sürüm eşleşmelerini yakalıyor ama daha önce görülmemiş sahte bir paketi ya da içerik bazlı yeni bir tehdidi tespit edemiyor. Bu da özellikleri değerli ama tek başına yeterli olmayan bir katman haline getiriyor; motorlarını ve sınırlarını anlamadan sadece varlığına güvenmek yanıltıcı olabilir.