[ON] PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Ответить
Аватара пользователя
rssbot
Бот
Сообщения: 6002
ОС: gnu/linux

[ON] PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Сообщение rssbot »

Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах.


Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В частности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала.


Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за
имевшихся проблем ранее показ подписей уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False".


За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов.










Источник: https://www.opennet.ru/opennews/art.shtml?num=59191
(opennet.ru, основная лента)
Последний раз редактировалось rssbot 26.05.2023 10:13, всего редактировалось 2 раза.
Причина: Updated upstream
Спасибо сказали:
Ответить