ID
ID
Tentang Kami
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Berita
Teknologi
Keamanan
Bahasa Pemrograman
Python

Transisi PGP ke Sigstore di Python Memicu Kekhawatiran Verifikasi

Tim Editorial BigGo
Transisi PGP ke Sigstore di Python Memicu Kekhawatiran Verifikasi

Proposal Python Software Foundation untuk menghentikan penggunaan tanda tangan PGP dan beralih ke Sigstore telah memicu perdebatan signifikan di kalangan komunitas pengembang, terutama mengenai keandalan verifikasi paket dan implikasi dari adopsi yang dipaksakan.

Kondisi Terkini Verifikasi Paket Python

Temuan terbaru telah mengungkap masalah yang mengkhawatirkan dengan sistem verifikasi PGP saat ini. Menurut diskusi komunitas, audit yang dilakukan pada Mei 2023 mengungkapkan bahwa dari 1.069 kunci unik yang digunakan untuk tanda tangan paket di PyPI:

  • 30% tidak dapat ditemukan di keyserver publik utama
  • Hampir setengah dari 71% sisanya tidak dapat diverifikasi secara bermakna
  • Bahkan rilis CPython yang lebih lama dari versi 2.7 menghadapi tantangan verifikasi

Proposal Transisi

Pengembang keamanan PSF, Seth Myhre Larson, telah mengusulkan untuk beralih sepenuhnya ke Sigstore pada tahun depan. Transisi ini akan menandai perubahan signifikan dari metode penandatanganan PGP tradisional yang telah tertanam dalam budaya open-source.

Perbedaan Utama dan Implikasi

Pendekatan Sigstore

  • Menggunakan OpenID Connect (OIDC) untuk verifikasi identitas
  • Menghilangkan kebutuhan manajemen kunci PGP manual
  • Bergantung pada otoritas terpusat daripada jaringan kepercayaan
  • Menerapkan sertifikat sekali pakai dan pencatatan publik

Kekhawatiran Komunitas

  1. Adopsi yang Dipaksakan : Beberapa anggota komunitas berpendapat bahwa menghapus dukungan PGP sepenuhnya bertentangan dengan prinsip open-source tentang pilihan
  2. Dampak Distribusi : Distribusi Linux utama saat ini belum memiliki proses untuk bekerja dengan Sigstore
  3. Sentralisasi : Sistem baru bergantung pada sejumlah terbatas penyedia

Solusi Alternatif

Beberapa anggota komunitas telah menyarankan untuk mengeksplorasi metode verifikasi lain, termasuk:

  • W3C DIDs dengan verifikasi berbasis blockchain
  • Verifiable Credentials (VCs)
  • Implementasi TUF dan Uptane
  • Pendekatan hybrid yang mempertahankan dukungan PGP dan Sigstore

Transisi ini merepresentasikan titik kritis dalam infrastruktur keamanan Python, menyeimbangkan kebutuhan keamanan modern dengan preferensi komunitas dan tantangan implementasi praktis.

Berita Terkait