pip 26.1 Hadir dengan “Dependency Cooldowns”, Perlindungan Baru dari Serangan Supply Chain
by El - 21 Mei 2026
Welcome XELAM - Ekosistem Python kembali mendapatkan pembaruan penting lewat rilis terbaru pip 26.1. Kali ini fokus utamanya bukan soal kecepatan atau fitur developer biasa, melainkan keamanan rantai pasok software (software supply chain security).
Fitur paling menarik dari pembaruan ini adalah hadirnya dependency cooldowns, mekanisme yang memungkinkan developer menunda instalasi package baru selama beberapa hari setelah dirilis.
Sekilas terdengar aneh. Kenapa package terbaru justru harus ditunda?
Ternyata alasannya berkaitan dengan meningkatnya serangan malware di ekosistem open source.
Ancaman Baru di Dunia Package Manager
Dalam beberapa tahun terakhir, serangan terhadap npm, PyPI, dan repository package lainnya meningkat drastis. Penyerang biasanya mengambil alih akun maintainer atau menyisipkan kode berbahaya ke update package populer.
Karena banyak server CI/CD melakukan update otomatis, package berbahaya bisa menyebar ke ribuan proyek hanya dalam hitungan jam.
Masalahnya, sebagian besar developer langsung menginstal versi terbaru tanpa menunggu audit komunitas.
Di sinilah konsep dependency cooldown mulai dianggap penting.
Cara Kerja Dependency Cooldowns
pip 26.1 memperkenalkan opsi:
pip install --uploaded-prior-to=P7D
Artinya, pip hanya akan menginstal package yang sudah berada di PyPI minimal 7 hari. Versi yang baru dirilis akan diabaikan sementara.
Konsep ini sebenarnya mirip seperti “masa karantina” untuk package baru.
Jika ternyata ada malware atau kompromi akun maintainer, komunitas keamanan punya waktu untuk:
- mendeteksi ancaman,
- menghapus package berbahaya,
- dan memberi peringatan sebelum package menyebar luas.
Menurut beberapa analisis keamanan, sebagian besar serangan supply chain modern berhasil karena malware aktif hanya beberapa jam sebelum akhirnya ditemukan.
Dengan cooldown 7 hari, banyak serangan tersebut bisa dicegah sebelum mencapai pengguna akhir.
Bukan Hanya Python
Menariknya, Python bukan satu-satunya ekosistem yang mulai menerapkan sistem ini.
Beberapa package manager lain juga sudah mulai memakai pendekatan serupa:
- npm memakai
min-release-age, - Yarn menggunakan
npmMinimalAgeGate, - pnpm memiliki
minimumReleaseAge, - dan Deno memakai
minimum-dependency-age.
Hal ini menunjukkan bahwa industri software mulai menganggap “update secepat mungkin” tidak selalu aman.
pip Juga Tambahkan Dukungan Lockfile
Selain cooldowns, pip 26.1 juga mulai mendukung file pylock.toml secara eksperimental.
Fitur ini membantu developer membuat environment Python yang lebih konsisten dan reproducible.
Dengan lockfile:
- versi dependency bisa dikunci,
- hasil build lebih stabil,
- dan risiko dependency berubah secara tiba-tiba dapat dikurangi.
Konsep ini sebenarnya sudah lama populer di npm lewat package-lock.json dan di Rust lewat Cargo.lock.
Ada Sisi Negatifnya?
Walaupun dianggap membantu keamanan, dependency cooldown juga menuai kritik.
Sebagian developer khawatir update keamanan penting justru terlambat dipasang karena sistem cooldown.
Selain itu, ada juga argumen bahwa cooldown hanya efektif jika ada pihak lain yang lebih dulu mencoba update terbaru dan menemukan bug atau malware.
Namun banyak peneliti keamanan tetap menilai pendekatan ini lebih baik dibanding langsung mempercayai setiap package baru yang muncul di registry publik.
Dunia Open Source Sedang Berubah
Rilis pip 26.1 menunjukkan perubahan besar dalam cara industri software memandang dependency.
Dulu dependency dianggap sekadar alat bantu developer. Sekarang dependency mulai diperlakukan sebagai area risiko keamanan yang serius.
Apalagi saat ini proyek modern bisa memiliki ratusan bahkan ribuan dependency transitif yang sering kali tidak pernah diperiksa manual oleh developer.
Dengan AI coding assistant dan otomatisasi yang semakin luas, jumlah package yang dipakai developer kemungkinan akan terus meningkat. Karena itu, fitur seperti cooldowns, lockfiles, dan audit dependency diprediksi akan menjadi standar baru di dunia pengembangan software modern.