https://opennet.dev/openforum/vsluhforumID3/135338.html Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении поддержки механизма цифровой аттестации для проверки подлинности опубликованных пакетов, которая пришла на смену верификации с использованием PGP-подписей. Ключевым отличием аттестации является то, что публикация пакета заверяется не разработчиком, а третьим лицом (каталогом пакетов) после подтверждения достоверности публикации через внешнего провайдера OpenID Connect (например, после проверки, что публикуемый пакет соотносится со связанным с ним репозиторием на GitHub или GitLab)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62234<br> https://opennet.dev/openforum/vsluhforumID3/135338.html#123 Sun, 24 Nov 2024 13:32:52 GMT Слушай оказалось, что в мире кроме добрых приятных людей есть<br>моральные уроды, которые готовы воровать ключи AWS. И если бы<br>это было заложено на начальном этапе в проекте всяких Пыхтонов,<br>то не было бы проблем, но разрабатывалось все внутри какой-то<br>вымышленной вселенной в которой живут пони и какают бабочками,<br>так что теперь оказалосьб надо приложить усилия и придумать как<br>защититься от этих зловредов.<br> https://opennet.dev/openforum/vsluhforumID3/135338.html#122 Sun, 24 Nov 2024 13:30:21 GMT Создаете свою компанию, заводите отдел безопастности, передаете на ревью библиотьеки,<br>смобираете CI/CD отключенный от Интернета и подключенный к ващему реесту доверенного софта, <br>живете не тужите и получаете прибыль...<br><br>Другой вариант нанимаете вчерашних Васянов после курсов пользующихся тем что есть,<br>постоянно рискуете своим бизнесом, инфраструктурой, деньгами и всем чем есть.<br><br>Выбор в целом за вами, но скупой платит два раза.<br> https://opennet.dev/openforum/vsluhforumID3/135338.html#121 Fri, 22 Nov 2024 00:11:03 GMT &gt;&gt; Ну и говори за себя, а не за всех.<br>&gt; Лол, так я за себя и говорю) <br><br>А это кто писал https://www.opennet.ru/openforum/vsluhforumID3/135338.html#107<br><br>&gt; Э.. а он вообще нужен?<br>&gt; Нужен только фанатикам типа Software Freedom Conservancy.<br><br>Вот так легко и просто ты записал кого-то в фанатики и решил, что не нужно. Какое лицемерие.<br><br>&gt;&gt; Да проще перейти на альтернативный инструмент доставки кода. Скринь.<br>&gt; Пусть переходят? Чего вонять то?<br><br>Ну явно пойти на ограничения ради сомнительноый выгоды могут только недалекие люди.<br><br>&gt;&gt; Новшество? Жрать с лопаты, закованным в кандалах - это новшество?<br>&gt; У тебя какие-то то ли рабские, то ли АУЕшные понятия.<br>&gt; Не очень понимаю с чем это связано.<br>&gt; OIDF это обычная non-profit огранизация, типа Linux Foundation, с похожим составом мемберов. <br><br>Понятия рабские как раз у тебя: ты же согласен с тем, что теперь нельзя загружать код из любого доступного репозитория.<br> https://opennet.dev/openforum/vsluhforumID3/135338.html#120 Thu, 21 Nov 2024 08:18:06 GMT &gt; Ну и говори за себя, а не за всех.<br><br>Лол, так я за себя и говорю)<br><br>&gt; Да проще перейти на альтернативный инструмент доставки кода. Скринь.<br><br>Пусть переходят? Чего вонять то?<br><br>&gt; Новшество? Жрать с лопаты, закованным в кандалах - это новшество?<br><br>У тебя какие-то то ли рабские, то ли АУЕшные понятия.<br>Не очень понимаю с чем это связано.<br>OIDF это обычная non-profit огранизация, типа Linux Foundation, с похожим составом мемберов.<br>Ты про линук тоже верещишь про лопату и кандалы?<br><br>&gt; Понятно, можешь дальше не продолжать.<br><br>Не очень понимаю зачем ты это пишешь?<br>Показать свою "нетакусьность"? <br><br> https://opennet.dev/openforum/vsluhforumID3/135338.html#119 Thu, 21 Nov 2024 04:32:19 GMT &gt;&gt; А что это ты решаешь кому нужен или нет? Ты кто, чтобы решать?<br>&gt; Я решаю какой проект мне нужен, а какой нет.<br>&gt; Тут я говорю за себя и, например, своих коллег.<br><br>Ну и говори за себя, а не за всех.<br><br>&gt;&gt; Где хотят разработчики там код и размещают, хоть на своем gitweb.<br>&gt; Их полное право.<br>&gt; Могут игнорить OpenID, а могут просить у разрабов добавить поддержки.<br>&gt; Т.к issues еще не закрыта - то могут еще и добавить.<br>&gt; Если тебе это надо - patches are welcome.<br><br>Да проще перейти на альтернативный инструмент доставки кода. Скринь.<br><br>&gt; Бегать по интернету и ждать пока все маргинальные сервисы осилят какое-то новшевство, <br>&gt; дело не благодарное.<br><br>Новшество? Жрать с лопаты, закованным в кандалах - это новшество? Понятно, можешь дальше не продолжать. <br><br><br> https://opennet.dev/openforum/vsluhforumID3/135338.html#118 Wed, 20 Nov 2024 02:39:24 GMT Я правильно понимаю, что теперь вирусы и зловредные обновления можно все так же писать, они так же будут размещаться на pypi но с дарующим ощущение безопасности подтверждением связи пакета с репозиторием на гитхабе?<br> https://opennet.dev/openforum/vsluhforumID3/135338.html#117 Mon, 18 Nov 2024 10:45:54 GMT &gt; Да господи, там поди половина майкрософта из них состоит. Прости, у амеров <br>&gt; какой-то дятел может слить секретные документы - в свой дискорд, похвастаться <br><br>ну вот не надо на дятлов-то наезжать! У того дятла все документы были проверены двадцать раз, и отпечатки взяты, все в полном абажуре было, обдолбись. <br><br>Год еще, вроде, правда, парнишке оставался до разрешения самостоятельно оружие и бухло покупать. Что бы могло пойти не так?! И никто не наказан из тех кто ему допуски выдавал, как обычно, они ж все по правилам делали, и фотку с паспортом сравнили в профиль и в фас.<br><br>Конец истории же ж, мир тыщи гендеров и вылизывания шерстки. <br><br>Сравни с какой-нибудь вон израхой, где конец истории в книжке обозначен четко, раз тот чувак пока не появляется - значит, не кончилась, и чтобы на военном заводе хотя бы крутить гайку - "не служил, не мужик"(ну хотя там и девки тоже служат). И характеристику от командования затребуют в обязательном порядке - беспощаден ли к врагам рей... жьiдорептилоидов, в связях с игро https://opennet.dev/openforum/vsluhforumID3/135338.html#116 Mon, 18 Nov 2024 08:56:22 GMT &gt; А, то-есть лизание ботинок полутора "якобы доверяемых" корпов - все же подразумевается. <br>&gt; Оок! Спасибо за пояснения.<br><br>Хм.. ну если тебе так сильно хочется, то можешь и ботинки лизать, кто ж тебе запретит.<br>(но думаю это должно быть по обоюдному согласию)<br><br>А что мешает LinuxFoundation, FSF или какой-то организации сделать "Истинно Щвободный OpenID Connect provider"?<br><br>&gt; Да, PGP для таких и правда гадость - заточен на взаимодействие равных с равными. <br><br>Да-да, я был на pgp-вечеринке, где рядом стоял чувак, который знает чувака, который в соседней кабинке туалета рядом с Торвальдсом сидел!<br><br>&gt; А тут явный master-slave намечается.<br><br>Только в твоих фантазиях. Но я тебя не осуждаю - это нормально для "особенных" людей.<br><br><br><br> https://opennet.dev/openforum/vsluhforumID3/135338.html#115 Mon, 18 Nov 2024 08:47:36 GMT &gt;&gt; Нужен только фанатикам типа Software Freedom Conservancy.<br>&gt; А, то-есть дискриминация и деление на первый и второй сорт - все-же есть? Спасибо, я так и подумал про все эти замашки.<br><br>Э.. Где ты тут углядел дискриминацию?<br>То что это фанатики (типа как и латиноамериканский фонд) то это их характеристика.<br>Ну есть люди которые готовы удалять гланды через зад.<br>Или морить себя постами. Или заниматься самобичеваниями и прочими мазохизмами.<br><br>Так же и тут - если человек ради мнимиой Щво6одьки готов жрать помои (зато бесплатно и без блобов!) то это его полное право.<br>Но я строя проект ориентируюсь на обычных людей, а не на девиантов.<br><br>&gt; Да что там, у тебя в подвале может террорист сидеть. Давай по этом поводу тяжелой ракетов в дом долбанем на всякий случай, а? <br>&gt; Так потенциальным террористам в гипотетическом подвале - точно амба будет.<br><br>Отличное сравнение! Просто замечательное.<br>Просьба "проверить кто у них там хостится и нет ли там людей из страны террориста" и "давайте у&#8470;&#8470;ем ракетой".<br>Ты слу