提議為Python編程語言新增的一項(xiàng)功能想要為運(yùn)行時環(huán)境添加“透明度”，讓安全和審計工具可以看清楚Python何時在運(yùn)行可能危險的操作。

目前版本的Python不允許安全工具查看運(yùn)行時環(huán)境在執(zhí)行什么操作。除非這類操作生成可能引發(fā)警報的特定錯誤，否則安全和審計工具蒙在鼓里，不清楚攻擊者可能利用Python在系統(tǒng)上執(zhí)行惡意操作。

PEP-551為Python提議兩個新的API

但在Python改進(jìn)提案551（PEP-551，https://www.python.org/dev/peps/pep-0551/）中，核心的Python開發(fā)人員斯蒂夫•道爾（Steve Dower）提議增加兩個新的API，這些API將讓安全工具可以發(fā)現(xiàn)Python何時在執(zhí)行可能危險的操作。

道爾說：“我們提議新增兩個API來支持這項(xiàng)功能：Audit Hood（審計鉤子）和Verified Open Hook（驗(yàn)證的開放鉤子）。這兩個API在默認(rèn)情況下并未設(shè)置，都需要修改入口點(diǎn)二進(jìn)制代碼才能啟用功能。”

其中第一個是Audit Hook API，它會生成關(guān)于某種類型的Python操作的警告消息。

道爾說：“這些操作通常出現(xiàn)在Python運(yùn)行時環(huán)境或標(biāo)準(zhǔn)庫的底層，比如動態(tài)代碼編譯、模塊導(dǎo)入、DNS解析或使用ctypes之類的某些模塊。”

安全或?qū)徲嫻ぞ呖赡軙褂眠@些消息作為表明出現(xiàn)可疑活動的警告標(biāo)志，將可疑的Python進(jìn)程標(biāo)記出來，或阻止繼續(xù)運(yùn)行，以免造成實(shí)際而重大的危害。

第二個API：Verified Open Hook API是一種讓Python運(yùn)行時環(huán)境知道允許執(zhí)行或改動哪些文件的機(jī)制。道爾解釋道：

大多數(shù)操作系統(tǒng)都有一種機(jī)制來區(qū)分可以執(zhí)行的文件和不可執(zhí)行的文件。比如說，這可能是權(quán)限字段中的執(zhí)行位，或者文件內(nèi)容的驗(yàn)證哈希，以檢測潛在的代碼改動行為。這些是重要的安全機(jī)制，可防止執(zhí)行未批準(zhǔn)用于某個特定環(huán)境的數(shù)據(jù)或代碼。目前，Python啟動腳本或?qū)肽K時無法與這種機(jī)制整合起來。

Python的性能影響忽略不計

道爾在去年8月提議PEP-551。早期的測試表明，添加這兩個API帶來的性能影響可以忽略不計，“絕大多數(shù)基準(zhǔn)測試顯示結(jié)果介于速度快1.05倍到慢1.05倍之間”。

最初的計劃是讓PEP-551隨原定于2018年6月中旬發(fā)布的Python 3.7一同交付，但是為下個月的版本添加的新功能列表（https://www.python.org/dev/peps/pep-0537/）顯示，這項(xiàng)提案最終沒有通過。這并不意味著PEP-551不會隨未來的Python版本一同交付。

Python是解決“安全視角”（security optics）問題的第二個主要的腳本引擎，這個概念是指編程和腳本運(yùn)行時環(huán)境應(yīng)提供最基本的透明度，有助于防止不良行為。微軟在采取類似的行動，好讓PowerShell對安全工具而言更加透明。