Новый механизм подписей на PyPI (2024-11-14 22:50:52+03:00)

[О блоге] [наверх] [пред] [2024-11-14 22:50:52+03:00] [a1e1b98cacae52f557fc2a46ab256e8dcb72815e]

Темы: [hate][python]

Новый механизм подписей на PyPI

https://www.opennet.ru/opennews/art.shtml?num=62234
https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/
https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
https://peps.python.org/pep-0740/
https://blog.trailofbits.com/2022/11/08/sigstore-code-signing-verification-software-supply-chain/
В прошлом году они убрали (b3b47ad4d00d6daefad47943d8f4eaafadfd4bed)
поддержку PGP подписей, сделав невозможным "передачу" доверия напрямую
от автора конечному пользователю пакета. Теперь же они сделали систему,
построенную вокруг X.509, Certificate Transparency и OpenID Connect
третьего лица.

[оставить комментарий]

комментарий 0:

From: Sergey Matveev
Date: 2024-11-18 18:39:53Z

https://blog.yossarian.net/2024/11/18/Security-means-securing-people-where-they-are