<p dir="ltr"><br>
On 24 Nov 2013 00:58, "Paul Moore" <<a href="mailto:p.f.moore@gmail.com">p.f.moore@gmail.com</a>> wrote:<br>
><br>
> On 22 November 2013 17:06, Justin Cappos <<a href="mailto:jcappos@nyu.edu">jcappos@nyu.edu</a>> wrote:<br>
> >> "unclaimed" project. What's this? What is the process of "claiming a<br>
> >> project"? Is there a better terminology? This reads like picking abandoned<br>
> >> project or project without authorship.<br>
> ><br>
> ><br>
> > Yes, it is essentially a project where the owner hasn't uploaded a public<br>
> > key to signal they will manage their own project.   So it seems like you got<br>
> > the gist of this from the name.<br>
><br>
> Personally, I'm not too keen on the term "unclaimed". If I upload, own<br>
> and manage a project but don't want to bother with the hassle of<br>
> generating and managing signing keys, I don't think that means my<br>
> project should be described by the (frankly, somewhat detrimental)<br>
> term "unclaimed". "Unsigned" is accurate and specific - "unclaimed"<br>
> sounds like I don't care about my project.</p>
<p dir="ltr">That sounds like an incentive for people to use offline keys to me - in this scheme, that's a feature, not a bug.</p>
<p dir="ltr">Leaving PyPI packages unclaimed is unequivocally *bad*. The PEP only allows it to ensure it isn't introducing new barriers to entry for software distribution through PyPI.</p>
<p dir="ltr">We *don't* want people to have to trust the integrity of PyPI - the volume of damage that can be done by a PyPI compromise is too high when it allows malicious replacement of most packages. Getting developers to create and register their own keys has problems of its own, but many manage to do it effectively for ssh, and that's a closer model for the PEP than the GPG web of trust.</p>

<p dir="ltr">Cheers,<br>
Nick.<br></p>
<p dir="ltr">><br>
> Paul<br>
> _______________________________________________<br>
> Distutils-SIG maillist  -  <a href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a><br>
> <a href="https://mail.python.org/mailman/listinfo/distutils-sig">https://mail.python.org/mailman/listinfo/distutils-sig</a><br>
</p>