PyPI设立关键包制度遭部分开发抗议

阅读量    6910 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

为应对频发的供应链攻击,PyPI决定设立关键包制度强制施行双因子认证,但部分开发却决定对着干。

总体来说这项举措还是众望所归,推出后在开发者社区里好评如潮,但每种制度总有人唱反调,何况确实带来了一些不便。有一个开发者为了不被强制加入双因子认证,从PyPI中删除了包重新发布,清空了下载量,以便退出“关键包”之列。目前的关键包政策是,六个月内下载量前1%的包设置为关键包,赞助商Google也会为此项目提供免费的硬件密钥。考虑到直到上周还在出现的PyPI供应链攻击,虽然这种方式无法对抗模糊名称,至少可以在反劫持上做出一定的贡献。

部分开发者不知是不是被官方发送的邮件气到了——“恭喜,你的包成为了关键包,快来双因子认证吧!”,决定删除后重新上架自己月下载量高达600万次的包,同时表示绝不使用这项功能,认为开发者已经做的够多了不能再折腾开发者。鉴于反对者只占少数,关键包制度应该会执行下去,这个“退出”的办法应该也不会封禁作为少数开发者的应对之策。[阅读原文]

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多