Pip 26.1이 의존성 쿨다운과 실험적 잠금 파일 지원을 추가했습니다.
Pip 26.1 버전에서 새로 발표된 패키지가 설치되기 전에 대기 기간을 enforcement하는 의존성 쿨다운 기능이 추가되었습니다. 또한 PEP 751에 기반한 pylock.toml 잠금 파일 지원이 실험적으로 도입되었습니다. 연구에 따르면 7일의 쿨다운이 시행되었다면 10건의 분석된 공급망 공격 중 8건이 최종 사용자에 도달하는 것을 막을 수 있었던 것으로 나타났습니다.
Pip 26.1 introduces dependency cooldowns and experimental lockfile support to prevent supply chain attacks.
Pip version 26.1 ships with a new feature that enforces a waiting period before newly published packages can be installed, termed dependency cooldowns. It also includes experimental support for pylock.toml lockfiles as per PEP 751. Research indicates that a 7-day cooldown could have prevented 8 out of 10 analyzed supply chain attacks from reaching end users.