PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 2407
Зарегистрирован: 20.08.2022

#

PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
Дата публикации:Wed, 24 May 2023 22:42:31 +0300




Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах.



Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала.



Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за
имевшихся проблем ранее показ подписей ранее уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False".



За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов.









Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=59191

Жизнь за Нер'зула!

Ответить