Phantom dependencies in Python (and what to do about them)

FOSDEM VZW

Gousios, Georgios

Formale Metadaten

Titel

Serientitel

FOSDEM 2024

Anzahl der Teile

779

Autor

Gousios, Georgios

Mitwirkende

N. N. (Moderation)

Lizenz

CC-Namensnennung 2.0 Belgien:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.

Identifikatoren

10.5446/71756 (DOI)

Herausgeber

FOSDEM VZW

Erscheinungsjahr

2024

Sprache

Englisch

Inhaltliche Metadaten

Fachgebiet

Informatik

Genre

Konferenz/Talk

Abstract

The increasing use of AI-driven Python libraries necessitates robust scanning of Python projects for vulnerabilities. However, Python's dynamic typing and reliance on manifest files for dependency management make it challenging to detect hidden "phantom" dependencies. These unreported dependencies introduce uncertainty and risk into software composition analysis, as seen in OpenAI's baseline codebase. This session explores program analysis, particularly reachability analysis, to expose these phantom dependencies and create accurate dependency sets. Despite the challenges posed by Python's dynamic nature, program analysis remains crucial for secure and reliable software development. Understanding phantom dependencies and their impact is vital for Python developers to build robust and secure software.