PyBrief memperbarui secara singkat (2 Mei 2026)
Perkenalan
Rilis pip 26.1 menandai langkah penting dalam evolusi penginstal paket Python. Meskipun pembaruan pip sering kali bersifat bertahap, versi ini memperkenalkan perubahan yang secara langsung memengaruhi cara pengembang mengelola dependensi, postur keamanan, dan reproduktifitas lingkungan.
Secara khusus, pip 26.1 berfokus pada tiga bidang: dukungan tahap awal untuk lockfile, kontrol baru untuk kesegaran ketergantungan, dan penyempurnaan pada penyelesai ketergantungan modern. Secara keseluruhan, perubahan ini menandakan pergeseran bertahap menuju lingkungan Python yang lebih deterministik dan aman.
Dukungan Python 3.9 Telah Dihentikan
Salah satu perubahan yang paling cepat adalah berakhirnya dukungan untuk Python 3.9.
pip 26.1 kini menargetkan Python 3.10 dan yang lebih baru, selaras dengan perubahan ekosistem yang lebih luas setelah Python 3.9 mencapai akhir masa pakainya pada bulan Oktober 2025. Seiring dengan semakin banyaknya pustaka upstream yang menghapus versi lama, pip juga mengikuti langkah tersebut untuk mengurangi overhead pemeliharaan dan kompleksitas kompatibilitas.
Bagi pengembang, ini berarti lingkungan yang masih disematkan ke Python 3.9 tidak lagi menerima jaminan kompatibilitas dari pip itu sendiri. Memutakhirkan versi runtime kini secara efektif merupakan prasyarat untuk menggunakan rilis pip modern.
Dukungan Eksperimental untuk Lockfiles pylock.toml
Sorotan utama dari pip 26.1 adalah dukungan eksperimental untuk file kunci standar melalui pylock.toml, yang ditentukan dalam PEP 751.
Fitur ini memungkinkan pip untuk menginstal dependensi langsung dari lockfile:
pip install -r pylock.toml
Karakteristik utamanya meliputi:
- Bekerja dengan instalasi pip, unduhan pip, dan roda pip
- Mendukung file kunci lokal dan jarak jauh
- Dirancang untuk alur kerja replikasi lingkungan penuh
Tujuannya adalah untuk memungkinkan instalasi yang lebih deterministik, mirip dengan apa yang telah ditawarkan oleh pengelola paket lainnya selama bertahun-tahun. Namun, fitur ini secara eksplisit ditandai sebagai eksperimental.
Batasan penting
Meskipun menjanjikan, penerapan saat ini mempunyai kendala:
- Grup ekstra dan ketergantungan tidak dapat dipilih dari file kunci
- VCS dan jalur lokal tidak dapat dicampur dengan dependensi terkunci tertentu
- Beberapa tanda resolusi (seperti –pre, –abi) diabaikan
- Belum ada validasi ukuran arsip
- Perilaku default mungkin masih mengizinkan dependensi tidak terkunci kecuali –no-deps digunakan
Dalam praktiknya, ini berarti penggunaan lockfile paling baik diperlakukan sebagai alur kerja yang terkontrol dan terisolasi daripada sebagai pengganti file persyaratan yang sepenuhnya fleksibel.
Ringkasan Mingguan Python
Cooldown Ketergantungan: Kontrol Keamanan Baru
pip 26.1 memperkenalkan konsep baru yang disebut cooldown ketergantungan melalui flag –uploaded-prior-to.
Hal ini memungkinkan pengembang untuk membatasi instalasi paket berdasarkan usia rilis:
pip install --uploaded-prior-to=P3D pip
Dalam contoh ini, hanya paket yang diunggah lebih dari tiga hari yang lalu yang memenuhi syarat untuk dipasang.
Tujuannya adalah untuk mengurangi paparan terhadap paket-paket upstream yang telah disusupi atau baru-baru ini dirusak dengan menerapkan penundaan singkat sebelum penerapannya.
Namun, hal ini disertai dengan trade-off. Instalasi yang tertunda juga dapat menunda patch keamanan penting. Oleh karena itu, pengelola pip merekomendasikan untuk memasangkan fitur ini dengan alat pemantauan kerentanan eksternal seperti pip-audit atau layanan seperti Dependabot.
Jika Anda Mengikuti Tren Pengemasan Python, Ini Penting
Jika Anda melacak perubahan seperti ini dalam kemasan Python, pip 26.1 adalah bagian dari perubahan yang lebih luas: reproduktifitas, keamanan rantai pasokan, dan standarisasi ekosistem menjadi perhatian utama dibandingkan praktik opsional.
Jika Anda rutin bekerja dengan manajemen ketergantungan, membangun sistem, atau alur penerapan, selalu mengikuti perubahan ini dapat menghemat waktu saat memigrasikan proyek nanti.
Jika Anda menyukai kerusakan ekosistem Python seperti ini, PyBrief adalah buletin mingguan Python yang merangkum pembaruan penting seperti rilis pip, perubahan pengemasan, dan peningkatan peralatan dalam format ringkas yang berfokus pada pengembang.
Ringkasan Mingguan Python
Peningkatan pada Dependency Resolver 2020
Resolver modern pip, yang diperkenalkan pada tahun 2020, terus berkembang dalam rilis ini.
pip 26.1 memperbaiki beberapa kasus edge lama yang sebelumnya memerlukan pengembalian ke penyelesai lama yang tidak digunakan lagi:
- Penanganan tambahan yang benar dikombinasikan dengan batasan URL
- Peningkatan penerapan batasan untuk dependensi hash
- Integrasi validasi hash yang lebih baik untuk persyaratan yang tidak dibatasi
Peningkatan ini mengurangi kesenjangan yang tersisa antara penyelesai modern dan perilaku lama. Sasaran jangka panjangnya tetap menghapuskan penyelesai lama secara menyeluruh, yang mungkin terjadi pada awal tahun 2027.
Bagi pengembang, ini berarti lebih sedikit solusi dan penyelesaian ketergantungan yang lebih dapat diprediksi dalam lingkungan yang kompleks.
Peningkatan Keamanan dan Penanganan Ketergantungan
Keamanan adalah fokus utama lainnya dari rilis ini.
Perbaikan penanganan jenis arsip
Kerentanan (CVE-2026–3219) telah diatasi ketika file .tar.gz dapat salah diidentifikasi sebagai arsip ZIP dalam kondisi tertentu. Hal ini berpotensi dieksploitasi untuk mengaburkan konten berbahaya.
pip 26.1 sekarang menggunakan heuristik yang lebih ketat, dengan memprioritaskan:
- Tipe konten yang disediakan server
- Ekstensi file
- Deteksi perpustakaan standar yang jelas
Hal ini mengurangi ambiguitas dalam pemrosesan arsip dan memperkuat keamanan instalasi.
Pembaruan mandiri, periksa perbaikan kerentanan
Masalah lain (CVE-2026–6357) yang terkait dengan mekanisme pembaruan mandiri pip telah diselesaikan. pip sekarang melakukan pemeriksaan versi sebelumnya dalam eksekusi untuk mencegah potensi skenario eksekusi kode selama instalasi.
Tingkatkan ke urllib3 2.x
Dengan Python 3.10+ sebagai dasar, pip 26.1 bertransisi ke urllib3 2.6.3.
Perubahan ini membawa:
- Dukungan upstream aktif dari pengelola urllib3
- Penghapusan permukaan ketergantungan 1.x yang lebih lama
- Pembersihan beberapa CVE yang terkait dengan versi lama
Meskipun sebagian besar pengembang mungkin tidak berinteraksi langsung dengan urllib3 di dalam pip, perubahan ini meningkatkan pemeliharaan rantai alat dalam jangka panjang.
Penghentian yang Perlu Diperhatikan
Salah satu perubahan penting yang akan datang adalah penghentian PIP_CONSTRAINT untuk dependensi build, yang dijadwalkan untuk dihapus pada pip 26.2.
Pengembang didorong untuk bermigrasi ke:
- –membangun-kendala
- PIP_BUILD_CONSTRAINT
Hal ini mencerminkan restrukturisasi yang lebih luas tentang cara pip menangani isolasi waktu build dan kontrol ketergantungan.
Ringkasan Mingguan Python
Kesimpulan
pip 26.1 tidak membahas tentang fitur-fitur mencolok dan lebih banyak membahas tentang evolusi infrastruktur yang stabil. Pengenalan dukungan lockfile eksperimental, cooldown ketergantungan, dan penyempurnaan penyelesai mengarah ke masa depan di mana lingkungan Python lebih dapat direproduksi dan aman secara default.
Pada saat yang sama, penghapusan dukungan terhadap Python 3.9 dan pengetatan perilaku internal menandakan bahwa ekosistem terus bergerak maju dengan kecepatan yang stabil.
Jika Anda bekerja dengan Python secara rutin, memantau perubahan seperti ini menjadi semakin penting untuk mempertahankan build yang stabil dan penerapan yang dapat diprediksi. PyBrief membantu mempermudahnya dengan menyaring pembaruan seperti rilis pip, perubahan pengemasan, dan tren ekosistem menjadi intisari mingguan yang jelas untuk pengembang Python.
Ringkasan Mingguan Python
Jika Anda senang membaca, pastikan untuk memberikannya 50 tepuk tangan! Mengikuti dan jangan lewatkan postingan saya selanjutnya —berlangganan ke profil saya untuk pembaruan blog yang wajib dibaca!
Terima kasih telah membaca!
Apa Arti pip 26.1 bagi Pengembang Python Sehari-hari awalnya diterbitkan di Stackademic on Medium, di mana orang-orang melanjutkan percakapan dengan menyorot dan menanggapi cerita ini.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
