PyPI odstraňuje podporu podepisování pomocí PGP

24. 5. 2023

Sdílet

PyPI Python Package Index Autor: PyPI

Z archivu balíčků PyPI byla odstraněna podpora podepisování balíčků pomocí PGP. Projevuje se to tak, že vývojáři sice stále mohou podpisy nahrávat, ale ty budou ignorovány. Dříve přidané podpisy je stále možné stáhnout, ale další už nebudou přidávány. Příslušné části API, například has_sig vždy vracejí  False.

Vývojáři nedávno při zkoumání podpisů na PyPI zjistili, že současná podpora podpisů PGP není užitečná. V posledních třech letech bylo do PyPI nahráno asi 50 tisíc podpisů vytvořených pomocí 1069 unikátních klíčů. Asi 30 % těchto klíčů nebylo možné vůbec najít na veřejných keyserverech, takže bylo obtížné nebo nemožné tyto podpisy smysluplně ověřit. Ze zbývajících 71 % nebylo možné smysluplně ověřit téměř polovinu z nich.

Jinými slovy, ze všech unikátních klíčů, které byly nahrány do PyPI, bylo možné smysluplně ověřit pouze 36 % z nich. I kdyby všechny podpisy nahrané v tomto tříletém období byly vytvořeny jedním z těchto ověřitelných klíčů, stále by to představovalo pouze 0,3 % všech souborů.

Podle vývojářů je další podpora nahrávání podpisů PGP do PyPI již neobhajitelná. Přestože její další podpora nepředstavuje obrovskou provozní zátěž, vyžaduje, aby všechny nové funkce, které se dotýkají ukládání souborů, tyto podpisy PGP znaly a byly schopny s nimi pracovat. To pro správce a přispěvatele PyPI představuje nenulové náklady, vysvětluje za vývojářský tým Donald Stufft.

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.