Following system colour scheme Selected dark colour scheme Selected light colour scheme

Python Enhancement Proposals

PEP 464 – Entfernung der PyPI Mirror Authenticity API

Autor:
Donald Stufft <donald at stufft.io>
BDFL-Delegate:
Richard Jones <richard at python.org>
Discussions-To:
Distutils-SIG Liste
Status:
Final
Typ:
Prozess
Thema:
Packaging
Erstellt:
02-Mär-2014
Post-History:
04-Mär-2014
Ersetzt:
381
Resolution:
Distutils-SIG Nachricht
Inhaltsverzeichnis

Zusammenfassung

Dieser PEP schlägt die Einstellung und Entfernung der PyPI Mirror Authenticity API vor. Dies umfasst die /serverkey URL und alle URLs unter /serversig.

Begründung

Die PyPI-Spiegelinfrastruktur (definiert in PEP 381) bietet eine Möglichkeit, den Inhalt von PyPI zu spiegeln, der von den automatischen Installern verwendet wird, und als Bestandteil davon bietet sie eine Methode zur Überprüfung der Authentizität des gespiegelten Inhalts.

Dieser PEP schlägt die Entfernung dieser API vor aufgrund von

  • Es sind keine bekannten Implementierungen bekannt, die diese API nutzen, einschließlich pip und setuptools.
  • Da diese API DSA verwendet, ist sie anfällig für das Leckwerden des privaten Schlüssels, wenn es *irgendeine* Voreingenommenheit im zufälligen Nonce gibt.
  • Diese API löst eine kleine Ecke des Vertrauensproblems, jedoch ist das Problem selbst viel größer und es wäre besser, ein voll funktionsfähiges System zu haben, wie z. B. The Update Framework, stattdessen.

Aufgrund der Probleme und des mangelnden Gebrauchs ist die Meinung dieses PEPs, dass er keinen praktischen Nutzen bietet, der die zusätzliche Komplexität rechtfertigen würde.

Plan für Einstellung & Entfernung

Unmittelbar nach der Annahme dieses PEPs wird die Mirror Authenticity API als veraltet betrachtet, und Spiegelungsagenten und Installationstools sollten aufhören, darauf zuzugreifen.

Anstatt sie tatsächlich aus der aktuellen Codebasis (PyPI 1.0) zu entfernen, wird die aktuelle Arbeit zur Ersetzung von PyPI 1.0 durch eine neue Codebasis (PyPI 2.0) diese API einfach nicht implementieren. Dies würde dazu führen, dass die API „entfernt“ wird, wenn der Wechsel von 1.0 auf 2.0 erfolgt.

Wenn PyPI 2.0 bis zum 01. September 2014 nicht anstelle von PyPI 1.0 bereitgestellt wurde, wird dieser PEP stattdessen in der PyPI 1.0-Codebasis implementiert (durch Entfernung des zugehörigen Codes).

Es sind keine Änderungen an den Installern erforderlich. Jedoch müssen PEP 381-konforme Spiegelungsclients wie bandersnatch und pep381client aktualisiert werden, um nicht mehr zu versuchen, die /serversig-URLs zu spiegeln.

Quelle: https://github.com/python/peps/blob/main/peps/pep-0464.rst

Zuletzt geändert: 2025-02-01 08:59:27 GMT