• # et les signatures?

    Posté par (Mastodon) . En réponse à la dépêche Alire, le package manager d'Ada. Évalué à 8.

    En 2022, il ne passe pas 2 semaines sans que revienne le sujet de poisonnements de librairies. Je m'étonne qu'il n'y ait aucune mention d'une signature obligatoire des crates par son mainteneur pour éviter de répéter les erreurs des gestionnaires de modules npm, pypi, cpan, gems.

    Ça n'empêcherait pas un mainteneur de saboter son propre travail, mais ça permettrait de limiter certaines attaques, comme liées à un mainteneur perdant son domain/adresse email, de voir son repo compromis, etc.

    Aussi qu'en est-il de mécanismes pour détecter le typosquatting?