PEP 458 a solution not only for PyPI

CC-Namensnennung - keine kommerzielle Nutzung - Weitergabe unter gleichen Bedingungen 4.0 International:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen und nicht-kommerziellen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen und das Werk bzw. diesen Inhalt auch in veränderter Form nur unter den Bedingungen dieser Lizenz weitergeben.

Identifikatoren

10.5446/68704 (DOI)

Herausgeber

EuroPython

Erscheinungsjahr

2023

Sprache

Englisch

Inhaltliche Metadaten

Fachgebiet

Informatik

Genre

Konferenz/Talk

Abstract

[PEP 458] uses cryptographic signing on [PyPI] to protect Python packages against attackers. The implementation of the PEP inspired the [Repository Service for TUF (RSTUF)], a project [accepted into the OpenSSF sandbox]. We identified that the design could benefit other organizations and repositories looking to secure their software supply chains. In this talk we would answer the following questions: - How did the PEP 458 design help to start the Repository Service for TUF (RSTUF)? - How could RSTUF be used for PyPI with its millions of packages? - How can RSTUF be deployed by any organization at any scale without requiring TUF expertise? Additionally, in this talk, we would give an overview of PEP 458, how it works, and give a high-level overview of TUF.