[pyar] Backdoor en el paquete ssh-decorator

Sebastián Seba ssebastianj en gmail.com
Jue Mayo 24 11:16:36 -03 2018


El 24 de mayo de 2018, 04:33, Gonz Rafuls<grafuls en gmail.com> escribió:

Esto me genera mucha desconfianza a la hora de instalar paquetes para mis
> proyectos desde pypi.
> Me pregunto si refactorizar todos mis requirements.txt a usar GitHub
> sources directamente en lugar de pypi seria una buena idea.
>

O cruzar los dedos para que PyPI (codename Warehouse ) integre TUF [0][1]
en su infraestructura. Hay por lo menos dos PEPs [2][3] al respecto, un
artículo en LWN.net [4], un podcast [5] y tal vez más. En realidad llegué a
TUF buscando cómo lo están haciendo con Cargo [6], el package manager de
Rust y al parecer está en análisis [7] la integración con TUF. Por ejemplo,
Docker adoptó TUF en 2015 [8]

¡Saludos!

[0] https://theupdateframework.github.io/
[1] Que por cierto acabo de conocer *hoy* gracias a este thread y a que me
puse a investigar sobre verificar la integridad y autenticación de paquetes
:)
[2] https://www.python.org/dev/peps/pep-0458/
[3] https://www.python.org/dev/peps/pep-0480/
[4] https://lwn.net/Articles/629426/
[5]
https://www.podcastinit.com/episode-99-the-update-framework-with-justin-cappos/
[6] https://github.com/rust-lang/cargo
[7] https://github.com/rust-lang/cargo/issues/4768
[8] https://blog.docker.com/2015/08/content-trust-docker-1-8/

-- 
Sebastián J. Seba (ssebastianj)
Ingeniero en Sistemas de Información
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180524/76b01e36/attachment.html>


Más información sobre la lista de distribución pyar