Vlákno názorů k článku
PyPI odstraňuje podporu podepisování pomocí PGP od Malek - A je za to nějaká náhrada nebo jiný...

A je za to nějaká náhrada nebo jiný bezpečnostní prvek?

Nemam prehled jake jsou bezpecnostni prvky v Pypi, ale mam dojem, ze se ptate na nahradu na neco, co nefunguje (a zjevne to moc lidem nechybi)

Ale jestvuje, vola sa to PKI a codesigning. Je to standardizovane a funkcne uz desiatky rokov.

ale pořád to je mladší než gpg, to je ještě starší.

Python a pip přišel s pgp někdy kolem verze 2.2 (kolem roku 2000), což je přibližně v době kdy teprve vzniklo rfc3280, které uvádělo codesigning, ale až o pár let později s rfc5280 dostalo dnešní podobu.

Lovím z hlavy, pamatujete si to někdo přesněji?

U pip v současné době nemáme jiné oficiální možnosti jak tohle zajistit.

Priniciplne nemusi ist ani o standardny codesigning, uplne by stacil p7s podpis balicku. Aj tak to bude milionkrat lepsie ako PGP.

ono to funguje, jen to skoro nikdo nepoužívá. On Pypi těch bezpečnostních prvků moc nemá, drtivá většina visí na nahlašování uživateli a pár automatimatickými skeny. Dnes je pip repositář v produkci právě z tohoto důvodu nepoužitelný, hodně jsme přešli na anacondu nebo si držíme lokální mirror pipu, ale to je drahé.