The Python Package Index Blog
·
从PyPI中移除PGP
原文英文,约500词,阅读约需2分钟。
📝
内容提要
PyPI决定停止支持PGP签名上传,尽管现有签名仍可用,但新签名将不再提供。过去三年中,约50,000个签名中仅36%可被有效验证,显示PGP签名的实用性不足,因此继续支持PGP签名已不再合理。
🎯
关键要点
-
PyPI决定停止支持PGP签名上传,现有签名仍可用,但不再提供新签名。
-
过去三年中,约50,000个PGP签名中仅36%可被有效验证,显示PGP签名的实用性不足。
-
约30%的上传PGP签名的唯一密钥在主要公共密钥服务器上无法被发现,导致验证困难。
-
继续支持PGP签名上传已不再合理,尽管维护成本不高,但对新功能的支持需要额外成本。
❓
延伸问答
为什么PyPI决定停止支持PGP签名上传?
因为过去三年中,约50,000个PGP签名中仅36%可被有效验证,显示PGP签名的实用性不足,继续支持已不再合理。
现有的PGP签名会受到影响吗?
现有的PGP签名仍然可用,但将不再提供新的PGP签名。
PGP签名的验证问题是什么?
约30%的上传PGP签名的唯一密钥在主要公共密钥服务器上无法被发现,导致验证困难。
停止支持PGP签名对PyPI有什么影响?
停止支持PGP签名将减少维护成本,并避免对新功能的额外支持需求。
PGP签名的有效性如何?
在审计时,只有36%的PGP签名能够被有效验证,显示其有效性较低。
PyPI的PGP签名支持历史是什么?
PyPI曾支持上传PGP签名,但由于长期存在的问题,逐渐减少了对PGP签名的支持。
🏷️
