PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
25-Май-2023 01:47

Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах.
Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала.
Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за
имевшихся проблем ранее показ подписей ранее уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False".
За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_pypi
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 21-Ноя 21:56
Часовой пояс: UTC + 5