很抱歉地告诉大家,我们将从PyPI中删除PGP。在考虑了多种因素之后,我们认为这是一个有益的变化,将使我们更加集中于PyPI上的核心任务。
尽管PGP是一种流行的验签机制,但它需要一些特定的工具和技能才能正确地使用。这对于新手来说可能是一个挑战,使得他们难以用PyPI下载他们所需要的软件包。另外,随着时间的推移,我们发现PGP的实践在不断变化,并且越来越分散。由于PyPI的使命是提供方便的软件包共享,我们相信删除PGP将使这一目标更加可行和实际。
虽然我们删除了PGP,但我们不会牺牲安全。PyPI仍然很重视我们所服务的社区的安全。我们将持续强化我们的安全措施,包括依赖关系审核和源代码签名,以确保我们存储的软件包和您所提供的数据的安全性。
我们希望,这个决定不会对大多数用户产生实质性的影响。然而,我们承认这可能会对部分人的工作流程造成一些困扰,特别是那些已经建立了使用PGP进行验签的工作流程。我们建议这些用户考虑采用其他的验签机制,或者与软件包作者直接进行通信以获取他们的验证指纹。
我们会与社区一起,继续努力使PyPI更加安全和方便,让用户能够轻松下载他们所需要的软件包。如果您有任何疑虑或建议,请联系我们的支持团队,我们将尽力帮助您。
了解更多有趣的事情:https://blog.ds3783.com/