Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении поддержки механизма цифровой аттестации для проверки подлинности опубликованных пакетов, которая идёт на смену верификации с использованием цифровых подписей. Ключевым отличием аттестации является то, что публикация пакета заверяется третьим лицом (каталогом пакетов) после получения подтверждения личности публикующего пакет от внешнего провайдера OpenID Connect (например, после проверки, что публикуемый пакет соотносится со связанным с ним репозиторием на GitHub или GitLab).
https://www.opennet.ru/opennews/art.shtml?num=62234
|