PyPI прекратит поддержку PGP-подписей из-за низкой эффективности
Разработчики PyPI рассказали о планах отказаться от PGP-подписей для пакетов, так как они не решают проблему верификации пакетов. Вместе с этим было принято решение уменьшить количество собираемых пользовательских данных.
В блоге организации рассказали, что PGP-подписи использовались для верификации загруженных пакетов. За последние три года в PyPI было пользователи загрузили около 50 тыс. цифровых подписей от 1069 PGP-ключей. Во время аудита безопасности удалось подтвердить благонадёжность только 29% ключей. Всего за три года было верифицировано только 36% ключей, достоверные подписи составляют всего 0,3% от всех файлов.
Из-за этого разработчики PyPI решили, что в нынешнем виде PGP-подписи не справляются с возложенными на них обязанностями. Ранее организация убрала их поддержку из интерфейса веб-сайта репозитория. Теперь же пользователи смогут получить доступ к загруженным подписям, но новые отдаваться не будут. Также поле has_sig в API будет по умолчанию возвращать значение False.
Вместе с этим руководство организации рассказало о выполнении требования по раскрытию персональных данных пользователей PyPI. За март и апрель 2023 года компания раскрыла данные пяти пользователей по требованию Министерства юстиции США. В списке раскрытых данных значатся имена, информация об адресе, список загруженных пакетов, IP-адреса и данные о сеансах.
В связи с этим было отмечено, что PyPI выступает за свободу и безопасность пользователей, поэтому организация минимизирует количество собираемых данных и установит лимит на хранение логов. Это поможет обезопасить пользователей в случае утечек или компрометации данных.
