PyPI, Python软件包索引,是世界上最大的Python软件包仓库之一。它是从Python社区接受贡献的。但是,然而,通过签署数据来确认一个发行版或源代码的作者,却事实上是无用的。在这篇文章中,作者Yossarian提供了证据证明PGP签名的可靠性降低,并展示了他在分析PyPI的PGP签名中遇到的诸多令人不安的问题。经过他的研究发现,大部分发布人仅使用2位指纹,这使得他们的密钥更容易遭到攻击。基于此,PyPI签名仅形成了大量不必要的负担。他呼吁PyPI社区在软件包弄脏之前实施更安全的验证方法,例如使用签名来验证上传,以避免建立不必要的安全孔。
干货满满,赶紧过来看看吧!
了解更多有趣的事情:https://blog.ds3783.com/