Em defesa do YAML

• YAML 1.2 é um formato de serialização baseado em indentação para arquivos de configuração aninhados escritos por humanos, e precisa ser distinguido das críticas de instabilidade herdadas de experiências antigas com PyYAML
• Os formatos de arquivo de configuração evoluíram como uma resposta às limitações da geração anterior, como a estrutura plana do INI, a verbosidade do XML e a ausência de comentários e strings multilinha no JSON
• TOML é claro em estruturas rasas como pyproject.toml e Cargo.toml, mas em estruturas aninhadas mais profundas aumenta o custo de leitura e edição por causa da repetição de caminhos e dos arrays de tabelas
• O YAML 1.2 Core Schema trata yes, no, on, off, y, n como strings e remove números sexagesimais e timestamps como tipos centrais, reduzindo problemas antigos de inferência implícita de tipos
• py-yaml12 é um parser e formatador YAML 1.2 para Python que, por meio de uma implementação em Rust, oferece padrões seguros, 100% de conformidade com o yaml-test-suite e desempenho comparável à extensão C do PyYAML

Problema

• Nos últimos anos, o clima em torno dos formatos de arquivo de configuração migrou para a ideia de que YAML é ruim e TOML é bom, mas avaliar YAML exige considerar ao mesmo tempo a história, as mudanças da especificação e o estado das ferramentas em 2026
• As críticas ao YAML foram razoáveis por muito tempo, e até usuários cuidadosos passaram por comportamentos inesperados, mas a especificação mudou e o ecossistema de ferramentas está correndo atrás
• As críticas atuais ao YAML só podem ser entendidas quando se observa também a linhagem dos formatos de configuração, um fluxo em que se repetem debates nos quais o formato seguinte corrige os excessos do anterior

Breve história dos formatos de arquivo de configuração

• Arquivos INI surgiram no começo dos anos 1980 com o MS-DOS e o Windows inicial, como um formato plano, fácil de ler e editável por humanos, com pares chave-valor, seções entre colchetes e comentários com ponto e vírgula
• O INI bastava para demandas da época, como configuração de drivers de dispositivo, definição de caminhos de fontes e ajustes de aplicações, mas tinha limitações estruturais: não permitia aninhamento com mais de um nível e não havia especificação oficial, então cada parser implementava seu próprio dialeto
• O XML foi amplamente adotado no fim dos anos 1990 no mundo do software corporativo e oferecia hierarquia arbitrária, schemas, namespaces, transformações e uma estrutura autodescritiva, mas na prática os arquivos de configuração ficaram tão verbosos que se tornaram difíceis de manter manualmente
• O JSON surgiu como uma resposta mais leve ao XML e, com base na simplicidade dos literais de objeto do JavaScript, substituiu o XML em APIs web no fim dos anos 2000 e começo dos anos 2010, mas como formato de configuração tinha limitações como ausência de comentários, ausência de strings multilinha e proibição de vírgula final
• YAML surgiu em 2001 e TOML em 2013 para preencher o espaço deixado pelo JSON; o YAML trouxe uma sintaxe baseada em indentação com aninhamento arbitrário, múltiplos documentos, referências e tipos definidos pelo usuário, enquanto o TOML buscou um “INI padronizado” com tipos explícitos e especificação oficial
• Cada nova geração de formato partiu dos excessos da anterior, e boa parte dos problemas atuais atribuídos ao YAML vêm menos do desenho do formato em si e mais de versões específicas da especificação e dos parsers presos a elas

Problemas que justificavam a oposição ao YAML

• As críticas ao YAML não eram inventadas: vinham de experiências reais que programadores enfrentaram ao longo de muitos anos
• O problema mais famoso, o da Noruega, é o comportamento do YAML 1.1 em que o escalar sem aspas NO é interpretado como o booleano false, fazendo com que no em uma lista de códigos de país vire um valor falso

  countries:
    - dk
    - fi
    - is
    - no
    - se
  

  ["dk", "fi", "is", false, "se"]
  

• A mesma regra também se aplicava a yes, on, off, y, n e várias combinações de maiúsculas e minúsculas; mapeamentos de porta como 22:22 eram lidos como inteiros sexagesimais, números de versão como 10.23 viravam ponto flutuante em vez de string, e valores que pareciam datas eram interpretados como timestamps
• Em código de ciência de dados e machine learning, nomes de variáveis naturais como n e y também podiam ser interpretados não como chaves string, mas como chaves False e True sob as regras de booleano implícito do YAML 1.1

  {"variables": {"x": "features", False: "sample_size", True: "target"}}
  

• A inferência implícita de tipos agressiva do YAML 1.1 pretendia melhorar a legibilidade ao ler true sem aspas como booleano, mas na prática deixava os arquivos de configuração mais imprevisíveis
• Arquivos de configuração costumam ser editados com pouca frequência e muitas vezes por alguém que não foi o autor original; assim, um parsing silenciosamente errado pode se propagar por meses por todo o sistema, tornando esse um dos contextos menos tolerantes a comportamentos inesperados
• A complexidade da especificação completa do YAML também pesava; a especificação YAML 1.2.2 é um documento considerável, com 10 capítulos e uma estrutura de seções numeradas em quatro níveis
• Há muitas formas de representar strings multilinha, e âncoras e aliases criam um sistema de referências poderoso, mas conceitualmente mais pesado do que o necessário para a maioria das tarefas de configuração
• Problemas de segurança na desserialização de objetos baseada em tags, especialmente a vulnerabilidade de yaml.load() em Python, tornaram-se um vetor de ataque bem conhecido, e esse tipo de crítica era válido para o YAML 1.1 e para o ecossistema de ferramentas em torno dele

O que o TOML faz bem

• TOML é um formato limpo, legível e sem ambiguidades em estruturas de configuração planas ou rasas
• A sintaxe do TOML é familiar para quem já viu arquivos INI, mas acrescenta tipos explícitos, especificação oficial e suporte a tabelas aninhadas por meio de chaves separadas por ponto
• pyproject.toml e Cargo.toml são exemplos em que o TOML se encaixa bem, porque normalmente têm seções bem definidas e profundidade de um ou dois níveis
• No TOML, strings sempre vêm entre aspas, então não há ambiguidade sobre no ser booleano ou palavra; inteiros, ponto flutuante e datas são tipos de primeira classe, e comentários funcionam da forma esperada
• A adoção do PEP 518 no ecossistema de empacotamento Python e o uso do Cargo pela comunidade Rust sustentam a ideia de que o TOML é uma escolha adequada nesse escopo de problemas
• A especificação do TOML é curta o bastante para que um programador competente escreva um parser compatível em um fim de semana, o que contribuiu para um ecossistema de parsers grande, bem testado e consistente
• O TOML não tem um problema equivalente à divisão de versões entre YAML 1.1 e 1.2; TOML 1.0 é TOML 1.0 em qualquer lugar

Onde o TOML começa a pesar

• Quando um arquivo de configuração precisa expressar profundidade, a estrutura aninhada do TOML depende de cabeçalhos de seção com chaves separadas por ponto ([servers.alpha]) ou arrays de tabelas ([[products]]), e isso fica mais difícil de ler à medida que o aninhamento cresce
• Martin Vejnár, do PyTOML, ao recusar que sua biblioteca se tornasse uma dependência do pip, citou a experiência de que, conforme o schema de configuração ficou mais complexo, a sintaxe TOML passou a parecer feia e difícil de ler
• No YAML, a indentação transmite a hierarquia de imediato; no TOML, é preciso repetir o caminho completo em cada cabeçalho de seção

  services:
    web:
      image: nginx:latest
      environment:
        DB_HOST: postgres
        DB_PORT: 5432
      resources:
        limits:
          memory: 512M
          cpu: "0.5"
  

  [services.web]
  image = "nginx:latest"
  
  [services.web.environment]
  DB_HOST = "postgres"
  DB_PORT = 5432
  
  [services.web.resources.limits]
  memory = "512M"
  cpu = "0.5"
  

• O leitor de TOML precisa reconstruir mentalmente a árvore a partir de uma sequência de nomes qualificados achatados, e medições citadas na documentação do StrictYAML mostram que, para representar os mesmos dados, um arquivo TOML usa cerca de 50% mais caracteres por causa dos prefixos de caminho repetidos
• O Python mostrou há muito tempo que usar indentação como estrutura não é uma fraqueza, mas uma força, ao eliminar uma classe de bugs em que a estrutura visual e a estrutura sintática divergem
• O YAML herda essa vantagem da estrutura por indentação, mas o TOML não exige indentação, então a relação entre chaves e tabelas contidas existe apenas nos cabeçalhos de seção, e não no posicionamento físico do arquivo
• Em arquivos de configuração profundamente aninhados, o TOML é difícil de escanear e difícil de editar com confiança

Mudanças no YAML 1.2

• A especificação YAML 1.2 foi publicada em 2009, e a revisão de esclarecimento 1.2.2 foi concluída em outubro de 2021
• No YAML 1.2 Core Schema, apenas true, false e True, False, TRUE, FALSE são reconhecidos como booleanos; yes, no, on, off, y, n são strings comuns
• Literais numéricos sexagesimais que causavam o problema de 22:22 foram removidos por completo, e timestamps deixaram de ser um tipo central, de modo que no Core Schema um 2026-05-05 sem aspas não é uma data detectada automaticamente, mas uma string
• O JSON passou a ser um subconjunto estrito e correto do YAML 1.2, e qualquer documento JSON válido é parseado da mesma forma em YAML
• As regras de interpretação de tags ficaram mais rígidas e claras, e a própria especificação passou a ser redigida de forma mais clara e mantida publicamente no GitHub
• O YAML que as pessoas criticavam era o YAML 1.1; a especificação que domina a linguagem hoje é o YAML 1.2, mais seguro e previsível
• O problema é que a experiência do usuário com YAML é mediada não pela especificação, mas pelo parser; e, para a maioria dos usuários Python, esse parser é o PyYAML, que implementa YAML 1.1 e não mudou a semântica central desde 2006

Panorama dos parsers YAML em Python

• PyYAML é a biblioteca YAML padrão de fato em Python; ela encapsula a biblioteca C LibYAML por desempenho e também oferece um caminho alternativo em Python puro
• O PyYAML é baixado milhões de vezes por semana e é dependência de inúmeros pacotes, mas implementa YAML 1.1, sendo a raiz da experiência “o YAML parseou código de país como booleano” no ecossistema Python
• O repositório do PyYAML tem mais de 200 issues abertas e mais de 100 pull requests abertas; o projeto continua mantido, mas avança lentamente, e a transição para uma semântica YAML 1.2 em uma versão principal ainda não aconteceu
• ruamel.yaml oferece suporte a YAML 1.2 e recursos de edição round-trip que preservam comentários, flow style e ordem das chaves, sendo uma opção muito mais poderosa que o PyYAML quando é necessário preservar comentários ou editar com consciência de formatação
• O ruamel.yaml é consideravelmente mais lento que o caminho rápido em C do PyYAML porque seu modo round-trip padrão é em grande parte implementado em Python puro, e seu histórico de empacotamento, com problemas de namespace package e cadeia de dependências, já confundiu pipelines de distribuição
• StrictYAML implementa um subconjunto intencional do YAML, removendo toda inferência implícita de tipos, tags, âncoras e flow style
• Filosoficamente, o StrictYAML está mais perto do TOML do que do YAML completo: é um formato seguro e simples que usa a sintaxe indentada do YAML, mas é exclusivo de Python, não tem implementações em outras linguagens e não busca conformidade com a especificação
• Nesse cenário, faltava uma biblioteca que oferecesse conformidade completa com YAML 1.2, alto desempenho e fácil substituição da interface básica do PyYAML

Apresentando o py-yaml12

• py-yaml12 é um parser e formatador YAML 1.2 para Python, implementado em Rust para velocidade e correção
• O py-yaml12 é construído sobre o crate Rust YAML saphyr e oferece uma API pequena e focada com parse_yaml(), read_yaml() para carregamento, e format_yaml(), write_yaml() para serialização

• Simplicidade

  • Na maioria dos casos de uso, o design trabalha do começo ao fim apenas com tipos embutidos básicos do Python, como dict, list, int, float, str e None
  • No caminho comum, não há classes especiais de documento nem tipos de nó personalizados, e como YAML 1.2 é um superconjunto de JSON, todo JSON válido é parseado da mesma forma
  • O py-yaml12 alcança 100% de conformidade com o yaml-test-suite, coleção comunitária de casos-limite e testes de conformidade
  • Em uma lista regions, no vira silenciosamente False no comportamento YAML 1.1 do PyYAML, mas no comportamento YAML 1.2 do py-yaml12 permanece como a string "no", como exige a especificação
  • A API de arquivos também é direta: ao gravar um dicionário Python em disco e lê-lo de volta, obtém-se o mesmo objeto em um round-trip sem perdas
  • Para recursos avançados do YAML, como valores com tags, a biblioteca fornece um tipo wrapper Yaml, mas ele é opcional nas tarefas comuns de configuração

• Segurança

  • Os padrões do py-yaml12 aumentam não só a conveniência, mas também a segurança; a abordagem oposta do PyYAML trata tags como comandos, com o risco de executar código Python arbitrário apenas ao ler um arquivo YAML
  • Se um arquivo YAML criar um alias para o namespace de tags Python object-apply do PyYAML e for lido com yaml.load(f, Loader=yaml.Loader), o código Python é executado antes mesmo de retornar um dicionário aparentemente normal
  • No exemplo, o resultado do parsing parece ser {'debug': False, 'retries': 3}, mas antes disso a variável de ambiente YAML_PAYLOAD_RAN já foi definida como '1', um problema em que não dá para perceber a execução olhando só o resultado
  • O py-yaml12 não executa tags que não foram explicitamente escolhidas e as mantém como dados; tags não processadas são retornadas em um wrapper Yaml contendo valor e tag

• Velocidade

  • Os benchmarks do py-yaml12 comparam desempenho de leitura e escrita, em arquivos de kilobytes a megabytes, com o caminho padrão em Python puro do PyYAML, com CSafeLoader e CSafeDumper baseados em LibYAML, e com o ruamel.yaml
  • Como a lógica central de parsing e formatação é implementada em Rust compilado, e não em Python interpretado, o py-yaml12 entrega desempenho comparável à extensão C do PyYAML mantendo conformidade completa com YAML 1.2
  • Hoje há poucas opções em bibliotecas Python que ofereçam ao mesmo tempo conformidade completa com YAML 1.2 e desempenho do nível das extensões C do PyYAML

Conclusão

• O debate comum entre YAML e TOML se parece mais com uma discussão contra uma forma de YAML problemática que já não existe mais; as críticas eram reais, mas históricas
• Quando se critica YAML, muitas vezes o alvo é o YAML 1.1 experimentado por meio do PyYAML, e não a especificação nem um YAML 1.2 corretamente implementado
• O TOML continua sendo uma boa escolha para configurações rasas e planas, e pyproject.toml se encaixa bem nesse papel, mas a afirmação de que YAML é inerentemente inseguro ou imprevisível não se sustenta diante de um parser compatível com YAML 1.2
• A pergunta importante não é qual formato é o melhor em abstrato, mas qual formato e qual ferramenta se encaixam bem em uma tarefa específica
• Para arquivos de configuração complexos, aninhados e escritos por humanos, YAML 1.2 com um parser moderno é uma resposta forte, e os formatos evoluem justamente corrigindo as arestas da geração anterior
• Em Python, é possível experimentar uma experiência moderna e conforme à especificação com pip install py-yaml12
• No ambiente R, r-yaml12 oferece os mesmos benefícios: conformidade completa com YAML 1.2, desempenho baseado em Rust e padrões seguros, assim como o pacote Python