PyPI, der Python Package Index, das offizielle und zentrale Repository für Python-Softwarepakete, hat nun einen neuen Status für Pakete eingeführt.
Der von der Python Software Foundation betreute Index arbeitet eng mit der Firma Trail of Bits zusammen, um mehrere wichtige Sicherheitsfunktionen zu entwickeln und zu implementieren. Trail of Bits stellte nun in einem Blogeintrag die Möglichkeit vor, Pakete als archiviert zu markieren. Das sollten Project Owner tun, wenn für ihr Projekt keine Weiterentwicklungen und keine Updates mehr zu erwarten sind. So haben Anwender eine bessere Grundlage, um sich für bestimmte Python-Pakete zu entscheiden oder sie nicht mehr zu berücksichtigen beziehungsweise zu neuerer Software zu migrieren. Der neue Status hat für beide Seiten Vorteile: Nachgelagerten Unternehmen sind besser über den Status ihrer Lieferkette informiert, und die vorgelagerten Unternehmen sollten weniger ablenkende, überflüssige Anfragen nach Wartungsinformationen erhalten.
Die Möglichkeit, den Status von Projekten auf PyPI zu markieren, ist ein lang gehegter Wunsch. Dies gilt vor allem für Projekte, die aufgegeben wurden, nicht mehr gepflegt werden, deren Funktionen abgeschlossen oder veraltet sind und bei denen der Betreuer die Erwartungen der Nutzer des Pakets bezüglich der zu erwartenden zukünftigen Aktualisierungen nicht mehr erfüllen kann oder will.
