Autor: PyPI

Z archivu balíčků PyPI byla odstraněna podpora podepisování balíčků pomocí PGP. Projevuje se to tak, že vývojáři sice stále mohou podpisy nahrávat, ale ty budou ignorovány. Dříve přidané podpisy je stále možné stáhnout, ale další už nebudou přidávány. Příslušné části API, například has_sig vždy vracejí False .





Vývojáři nedávno při zkoumání podpisů na PyPI zjistili, že současná podpora podpisů PGP není užitečná. V posledních třech letech bylo do PyPI nahráno asi 50 tisíc podpisů vytvořených pomocí 1069 unikátních klíčů. Asi 30 % těchto klíčů nebylo možné vůbec najít na veřejných keyserverech, takže bylo obtížné nebo nemožné tyto podpisy smysluplně ověřit. Ze zbývajících 71 % nebylo možné smysluplně ověřit téměř polovinu z nich.





Jinými slovy, ze všech unikátních klíčů, které byly nahrány do PyPI, bylo možné smysluplně ověřit pouze 36 % z nich. I kdyby všechny podpisy nahrané v tomto tříletém období byly vytvořeny jedním z těchto ověřitelných klíčů, stále by to představovalo pouze 0,3 % všech souborů.