Новый механизм подписей на PyPI

Что: a1e1b98cacae52f557fc2a46ab256e8dcb72815e

Когда: 2024-11-14 22:50:52+03:00

Темы: hate python

Новый механизм подписей на PyPI

https://www.opennet.ru/opennews/art.shtml?num=62234
https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/
https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
https://peps.python.org/pep-0740/
https://blog.trailofbits.com/2022/11/08/sigstore-code-signing-verification-software-supply-chain/
В прошлом году они убрали (b3b47ad4d00d6daefad47943d8f4eaafadfd4bed)
поддержку PGP подписей, сделав невозможным "передачу" доверия напрямую
от автора конечному пользователю пакета. Теперь же они сделали систему,
построенную вокруг X.509, Certificate Transparency и OpenID Connect
третьего лица.

оставить комментарий

комментарий 0:

From: Sergey Matveev
Date: 2024-11-18 18:39:53Z

https://blog.yossarian.net/2024/11/18/Security-means-securing-people-where-they-are

Сгенерирован: SGBlog 0.34.0