[pyar] Backdoor en el paquete ssh-decorator

Federico Apelhanz elmaildejapel en gmail.com
Jue Mayo 24 11:20:08 -03 2018

Mensaje anterior: [pyar] Backdoor en el paquete ssh-decorator
Próximo mensaje: [pyar] Backdoor en el paquete ssh-decorator
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]

*creo* que pyenv soluciona el tema de la seguridad (raro que todavía no se
hablo al respecto en esta lista)

El 24 de mayo de 2018, 11:16, Sebastián Seba <ssebastianj en gmail.com>
escribió:

>
>
> El 24 de mayo de 2018, 04:33, Gonz Rafuls<grafuls en gmail.com> escribió:
>
> Esto me genera mucha desconfianza a la hora de instalar paquetes para mis
>> proyectos desde pypi.
>> Me pregunto si refactorizar todos mis requirements.txt a usar GitHub
>> sources directamente en lugar de pypi seria una buena idea.
>>
>
> O cruzar los dedos para que PyPI (codename Warehouse ) integre TUF [0][1]
> en su infraestructura. Hay por lo menos dos PEPs [2][3] al respecto, un
> artículo en LWN.net [4], un podcast [5] y tal vez más. En realidad llegué a
> TUF buscando cómo lo están haciendo con Cargo [6], el package manager de
> Rust y al parecer está en análisis [7] la integración con TUF. Por ejemplo,
> Docker adoptó TUF en 2015 [8]
>
> ¡Saludos!
>
> [0] https://theupdateframework.github.io/
> [1] Que por cierto acabo de conocer *hoy* gracias a este thread y a que
> me puse a investigar sobre verificar la integridad y autenticación de
> paquetes :)
> [2] https://www.python.org/dev/peps/pep-0458/
> [3] https://www.python.org/dev/peps/pep-0480/
> [4] https://lwn.net/Articles/629426/
> [5] https://www.podcastinit.com/episode-99-the-update-
> framework-with-justin-cappos/
> [6] https://github.com/rust-lang/cargo
> [7] https://github.com/rust-lang/cargo/issues/4768
> [8] https://blog.docker.com/2015/08/content-trust-docker-1-8/
>
> --
> Sebastián J. Seba (ssebastianj)
> Ingeniero en Sistemas de Información
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180524/ada1bf70/attachment.html>

Mensaje anterior: [pyar] Backdoor en el paquete ssh-decorator
Próximo mensaje: [pyar] Backdoor en el paquete ssh-decorator
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]

Más información sobre la lista de distribución pyar