Newest Python PEPs
·
PEP 761:弃用CPython工件的PGP签名
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
PEP 761提议停止为CPython工件提供PGP签名,改用Sigstore。PGP需要长期维护私钥,增加发布经理负担,而Sigstore使用短期密钥,简化流程。此提案旨在减轻发布经理压力,提高CPython可持续性。现有版本继续支持PGP,未来将逐步过渡到Sigstore。
🎯
关键要点
- PEP 761提议停止为CPython工件提供PGP签名,改用Sigstore。
- PGP需要长期维护私钥,增加发布经理负担,而Sigstore使用短期密钥,简化流程。
- 此提案旨在减轻发布经理压力,提高CPython可持续性。
- 现有版本继续支持PGP,未来将逐步过渡到Sigstore。
- CPython的发布管理以发布经理为中心,维护PGP私钥的负担过重。
- Sigstore的设计哲学关注签名和验证的易用性,采用短期密钥。
- 同时提供PGP和Sigstore签名会导致验证者不愿意迁移到新签名方法。
- PEP提议将PGP签名的弃用与发布经理的身份绑定,而非单个版本。
- 未来的CPython版本将不再提供PGP签名,建议验证者采用Sigstore。
- 如果需要,PEP提供了延迟停止PGP签名的机制。
- 移除PGP签名将影响未来CPython工件的验证,需转向Sigstore。
- PGP和Sigstore的安全模型不同,移除PGP签名后用户将依赖Sigstore的安全模型。
- CPython将更新文档以反映PGP签名的弃用和未来期望。
- 拒绝了无限期继续发布PGP签名的想法,以减轻发布经理的压力。
➡️
