Newest Python PEPs
·
PEP 761:弃用CPython工件的PGP签名
内容提要
PEP 761提议停止为CPython工件提供PGP签名,改用Sigstore。PGP需要长期维护私钥,增加发布经理负担,而Sigstore使用短期密钥,简化流程。此提案旨在减轻发布经理压力,提高CPython可持续性。现有版本继续支持PGP,未来将逐步过渡到Sigstore。
关键要点
-
PEP 761提议停止为CPython工件提供PGP签名,改用Sigstore。
-
PGP需要长期维护私钥,增加发布经理负担,而Sigstore使用短期密钥,简化流程。
-
此提案旨在减轻发布经理压力,提高CPython可持续性。
-
现有版本继续支持PGP,未来将逐步过渡到Sigstore。
-
CPython的发布管理以发布经理为中心,维护PGP私钥的负担过重。
-
Sigstore的设计哲学关注签名和验证的易用性,采用短期密钥。
-
同时提供PGP和Sigstore签名会导致验证者不愿意迁移到新签名方法。
-
PEP提议将PGP签名的弃用与发布经理的身份绑定,而非单个版本。
-
未来的CPython版本将不再提供PGP签名,建议验证者采用Sigstore。
-
如果需要,PEP提供了延迟停止PGP签名的机制。
-
移除PGP签名将影响未来CPython工件的验证,需转向Sigstore。
-
PGP和Sigstore的安全模型不同,移除PGP签名后用户将依赖Sigstore的安全模型。
-
CPython将更新文档以反映PGP签名的弃用和未来期望。
-
拒绝了无限期继续发布PGP签名的想法,以减轻发布经理的压力。
延伸问答
PEP 761提议了什么变化?
PEP 761提议停止为CPython工件提供PGP签名,改用Sigstore进行签名。
为什么要弃用PGP签名?
弃用PGP签名是为了减轻发布经理的负担,因为PGP需要长期维护私钥,而Sigstore使用短期密钥,流程更简化。
Sigstore与PGP的主要区别是什么?
Sigstore使用短期密钥并依赖于集中式基础设施,而PGP需要长期维护私钥,且其安全模型不同。
未来的CPython版本将如何处理签名?
未来的CPython版本将不再提供PGP签名,建议验证者采用Sigstore进行验证。
PEP 761对现有版本的影响是什么?
现有版本将继续支持PGP签名,直到它们的生命周期结束,不会受到PEP 761的影响。
如何处理PGP签名的过渡期?
PEP 761提供了延迟停止PGP签名的机制,以应对特殊情况,确保发布经理在过渡期间仍能提供PGP签名。
