パッケージ管理ツール pip 26.1 公開──標準のロックファイル機能と「冷却期間」設定を導入
Python 標準の pip が pylock.toml による依存関係固定を公式サポートし、サプライチェーン攻撃対策として「公開から N 日経過後のみ導入」する冷却期間オプションを実装した。
リリース: 2026-04-28 · 読了 2 分記事の要約
1. 核心(What)
- pip lock コマンドにより、依存関係を完全に固定した pylock.toml ファイルの生成が可能になった。
- --uploaded-prior-to PXD オプションにより、公開から指定日数(例:P4D = 4日間)が経過していない最新版のインストールを制限できる。
- 2024年10月に EOL を迎えた Python 3.9 のサポートを正式に終了した。
2. 影響(Why)
- uv や poetry 等の外部ツールを使わずとも、標準 pip だけで再現性のある環境構築(Lockfile)が完結する。
- 悪意あるパッケージの即時混入を防ぐ「冷却期間」の導入により、CI/CD におけるサプライチェーン攻撃の被害リスクを直接的に低減できる。
- 開発者への影響: 開発者は requirements.txt の管理から pylock.toml への移行を検討すべき。特に CI 上で常に最新版を追う設定にしている場合、冷却期間オプションの追加がセキュリティ上の標準プラクティスになる。
- 日本への影響: 国内の受託開発や金融系 SaaS など、セキュリティ要件が厳しい開発現場において、サードパーティ製ツールの導入が難しい制限下でも、標準ツールのみで堅牢な依存関係管理が可能になる。
3. 根拠・詳細(How)
- Simon Willison’s Weblog (2026-04-28 公開)