PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах.
Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала.
Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за
имевшихся проблем ранее показ подписей ранее уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False".
За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.pypi.org/posts/20...)
- OpenNews: PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
- OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
- OpenNews: В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS
- OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
- OpenNews: GitHub опубликовал отчёт о блокировках в 2022 году
Похожие новости:
- PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
- В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
- В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS
- Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript
- В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka
- В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
- Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe
- 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
- В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов
- Google представил сервис для наглядного отслеживания зависимостей
Теги для поиска: #_pypi
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:42
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах. Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала. Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за имевшихся проблем ранее показ подписей ранее уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False". За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:42
Часовой пояс: UTC + 5