整理 | 蘇宓
出品 | CSDN(ID:CSDNnews)
用過 Python 的開發者,想必都聽過 PyPI。它是 Python 官方軟體存儲庫,為超過 700,000 名用戶和超過 450,000 個項目提供服務。
近日,PyPI 對用戶隱私保護引發了不少人的擔憂。事情起因於 5 月 24 日,Python 軟體基金會的基礎設施總監 Ee Durbin 在官方博客上發布了一篇《PyPI was subpoenaed》的公告。
在公告中,Ee Durbin 稱 Python 軟體基金會(PSF)在 2023 年 3 月和 4 月收到了美國司法部發出來的三張傳票,要求 PSF 提供關於 PyPI 用戶數據。
PyPI 是一個可以上傳 Python 包的平台,通過在 PyPI 上發布的包可以使用"pip install"命令進行安裝。為了在 PyPI 上發布包,用戶需要創建一個帳戶,而這次司法部發出的傳票要求的就是與這些用戶帳戶相關的信息。
然而,根據 PSF 的說法,他們並沒有得到任何關於為何司法部要求用戶數據的法律背景信息,但是司法部要求他們提供總共五名 PyPI 用戶的數據。
PSF 公告寫道,「保護 PyPI 用戶的隱私對於 PSF 和 PyPI 管理員來說至關重要,我們致力於儘可能地保護用戶數據不被披露。」
不過,在這種情況下,他們在諮詢律師之後,最終決定履行數據提供的要求,並對此事進行了公開說明。
司法部要求 PSF 提供的數據如下,PSF 官方也對此進行了說明:
1. 姓名(包括訂閱者姓名、用戶名和暱稱)。
PSF 表示,「PyPI 在其資料庫中有一個元素用戶名,該名稱是在其中註冊的。用戶可以更改顯示名稱,但不會記錄 PyPI 的用戶顯示名稱更改歷史。」
2. 地址(包括郵寄地址、居住地址、工作地址和電子郵件地址)。
PSF 回應道,由於 PyPI 不要求用戶註冊時填寫郵寄或居住地址,因此僅存儲用戶的電子郵件地址」,僅將電子郵件地址提供給司法部。
3. 連接記錄。
PyPI 在索引中保留項目的所有更改記錄。這些記錄存儲在資料庫中,並通過 XMLRPC API 發布,用戶名和 IP 地址除外。此外,帳戶創建、電子郵件發送、電子郵件地址更改、登錄、登錄失敗等用戶事件的記錄也被保留並可以從資料庫中檢索到。
4. 會話時間和持續時間記錄,以及與這些會話相關的臨時分配的網絡地址(如Internet 協議地址)。
PyPI 提供 session 時間,即登錄時間作為數據,但不記錄 session 時長。
5. 服務時長(包括開始日期)和使用的服務類型。
PyPI 保留用戶帳號創建的日期和最後一次成功登錄的記錄。這些記錄集存儲在資料庫中,是 PyPI 上的私有信息。
6. 電話或設備號碼(包括註冊 Internet 協議地址)。
每個用戶的所有 IP 地址都是共享的。這些是從資料庫記錄中獲取的,並且是 PyPI 私有的。
7. 支付方式和來源(包括任何信用卡或銀行帳戶號碼)和帳單記錄。
PyPI 不設置用戶使用費,因此不存在信用卡支付記錄或帳單記錄。
8. 與給定用戶名相關的所有 Python 軟體包索引(PyPI)上傳的記錄。
提供了與每個用戶名關聯的所有項目的列表。這些是從資料庫記錄中獲取的,並且是 PyPI 私有的。
9. 與給定用戶名相關的任何 Python 軟體包索引(PyPI)上傳的 IP 下載日志。
PyPI 不保存包含 IP 地址的包下載日誌。下載日誌會經過一個處理流程,其中包括由 CDN 報告的 GeoIP 信息,並從 Google BigQuery 公共數據集中獲取。
其實,根據公告也不難看出,雖然 PSF 不願,但是依然還是會將數據提供給司法部門,至於此舉會不會引發更多用戶對 PyPI 的不信任,以及會帶來哪些影響,目前尚未可知。
公告全文詳見:
https://blog.pypi.org/posts/2023-05-24-pypi-was-subpoenaed/