PyPI 소환장: 미국 정부, 사용자 데이터 요청
450,000개 이상의 Python 패키지를 광범위하게 수집한 PyPI(Python 패키지 인덱스)는 개발자들 사이에서 매우 인기 있는 리포지토리입니다. 이러한 패키지는 "sdlist" 또는 미리 컴파일된 "휠"이라고 하는 아카이브로 저장됩니다.
미국 법무부는 PyPI 사용자 데이터의 공개를 요청하는 세 건의 소환장을 Python 소프트웨어 재단(PSF)에 발부했습니다. 이 소환장의 초점은 5개의 특정 PyPI 사용자 이름에 맞춰져 있으며, 요청된 데이터는 다음과 같이 요약할 수 있습니다:
PyPI 데이터 요청
- 구독자 이름, 사용자 이름 및 화면 이름을 포함한 이름.
- 우편 주소, 거주지 주소, 회사 주소, 이메일 주소를 포함한 주소.
- 연결 기록
- 세션 시간 및 기간기록과 해당 세션과 관련된 인터넷 프로토콜(IP) 주소와 같이 임시로 할당된 네트워크 주소가기록됩니다.
- 서비스 시작일 및 사용 중인 서비스 유형을 포함한 서비스 기간입니다.
- 등록 인터넷 프로토콜(IP) 주소를 포함한 전화 또는 기기 번호.
- 신용카드 또는 은행 계좌 번호 및 청구 기록을 포함하여 해당 서비스에 대한 결제 수단 및 출처.
- 지정된 사용자 이름으로 업로드한 모든 PyPI(Python 패키지 인덱스) 패키지의 레코드입니다.
- 지정된 사용자 이름으로 업로드한 PyPI(Python 패키지 인덱스) 패키지의 IP 다운로드 로그입니다.
보시다시피, 법무부는 대량의 PyPI 사용자 데이터 목록을 요청했습니다. 법률 자문을 구한 결과, PyPI 관리자가 할 수 있는 다른 방법이 없다는 결론을 내렸고, PSF는 미국 법률의 적용을 받기 때문에 이를 준수해야 했습니다. 물론 소환에 저항하는 것은 어려운 일입니다. 사용자의 자유, 보안, 프라이버시를 더욱 향상시키기 위해 PyPI와 PSF는 현재의 데이터 및 프라이버시 절차를 검토할 것입니다.
결론
이제 파이썬 소프트웨어 재단은 다가오는 정부의 데이터 요청에 대응하기 위해 새로운 데이터 보존 및 공개 정책을 만들 것입니다. 또한 사용자에 대한 개인 식별 정보를 시스템에 저장하는 방법과 기간도 명시할 것입니다. 제공된 정보와 투명성을 위한 PyPI의 노력에 대해 더 자세히 알고 싶으시다면, 블로그 게시글을 읽어보세요.
Python 2.7에 대한 TuxCare의 ELS(확장 장기 지원) 프로그램을 사용하면 이전과 마찬가지로 기존 소프트웨어를 계속 사용할 수 있습니다. 이 프로그램은 규정 준수 요구 사항을 충족하는 최신 플랫폼을 제공하는 동시에 특히 중요도가 높은 취약점을 해결하는 필수 보안 업데이트를 받을 수 있도록 보장합니다.
이 기사의 출처는 It's FOSS News의 기사입니다.