<div dir="auto">Or start doing signed pgp for package maintainers and build a transitive trust model.</div><div class="gmail_extra"><br><div class="gmail_quote">On Jun 1, 2017 8:14 PM,  wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Force packages to match their higher level import namespace in future major Python versions and PEP it.</div><div class="gmail_extra"><br><div class="gmail_quote">On Jun 1, 2017 7:37 PM, "Noah Kantrowitz" <<a href="mailto:noah@coderanger.net">noah@coderanger.net</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text"><br>
> On Jun 1, 2017, at 4:00 PM, Nick Timkovich <<a href="mailto:prometheus235@gmail.com">prometheus235@gmail.com</a>> wrote:<br>
><br>
> This issue was also brought up in January at <a href="https://github.com/pypa/pypi-legacy/issues/585" rel="noreferrer" target="_blank">https://github.com/pypa/pypi-<wbr>legacy/issues/585</a> then just as after the initial "typosquatting PyPI" report (June 2016) it's met with resounding silence. Attacking the messenger doesn't seem like a winning move from a security standpoint.<br>
><br>
> Can we come up with a plan to address the underlying issue and protect users?<br>
<br>
</div>If you have a systemic solution I'm sure we would love to hear it :)<br>
<font color="#888888"><br>
--Noah<br>
<br>
<br>
</font><br>______________________________<wbr>_________________<br>
Distutils-SIG maillist  -  <a href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/distutils-sig" rel="noreferrer" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/distutils-sig</a><br>
<br></blockquote></div><br></div></blockquote></div><br></div>