
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Feb 10, 2016 at 12:40 AM, M.-A. Lemburg <span dir="ltr"><<a href="mailto:mal@egenix.com" target="_blank">mal@egenix.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 09.02.2016 22:40, Steve Dower wrote:<br>

> On 09Feb2016 1030, M.-A. Lemburg wrote:<br>

>> On 09.02.2016 18:41, Jeff Hardy wrote:<br>

>>> On Mon, Feb 8, 2016 at 12:34 PM, M.-A. Lemburg <<a href="mailto:mal@egenix.com">mal@egenix.com</a>> wrote:<br>

>>><br>

>>>> To everyone: We now have a PSF code signing certificate.<br>

>>>><br>

>>>> I have sent the certificate to Steve for use in the Windows<br>

>>>> installers. If other developers need to create signed<br>

>>>> installers/code for Python, please let me know.<br>

>>>><br>

>>><br>

>>> Hi Marc-Andre,<br>

>>> Would it be possible to use it for IronPython as well?<br>

>><br>

>> I don't know. Steve is using it as Authenticode certificate,<br>

>><br>

>> [SNIP]<br>

>><br>

>> It will certainly work for signing executables and msi<br>

>> installers.<br>

>><br>

>> Perhaps Steve can help with this.<br></span></blockquote><div><br></div><div>Yes, it would be signing the IronPython .exe's, MSI, and possibly NuGet packages (although that part of the ecosystem is in flux and I have no idea what's going on right now).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">

>><br>

><br>

> There are three aspects to this: technical, political and security.<br>

><br>

> Technically, yes IronPython could absolutely be signed with the same certificate.<br>

><br>

> Politically, it requires the PSF to be willing to put their name to the safety of the signed<br>

> binaries and installers. Essentially, if/when something bad is done with or via something signed by<br>

> the PSF, there is an implied responsibility (no idea how legally enforceable it is). I am not in a<br>

> position to say whether or not this is okay for IronPython.<br>

<br>

</span>Regardless of politics (the PSF wants to help where ever we can),<br>

we may only sign code with the PSF code signing certificate which<br>

the PSF has a right to distribute.<br>

<br>

I originally was under the impression that we do, but now that I<br>

wanted to check, I'm having trouble finding the copyright owners<br>

of the code.<br>

<br>

The license is the Apache license (but without copyright holder<br>

information), and the stdlib is part of the installers (which the<br>

PSF has distribution rights to), but the IronPython runtime itself<br>

only says: "Copyright (c) IronPython Team", so it's not clear what<br>

distribution rights the PSF would have.<br></blockquote><div><br></div><div>We deliberately didn't so copyright assignment at the start to avoid dealing with the MS lawyers too much, so the bulk of the code is (c) Microsoft, the rest would be whoever wrote it. It's a nice, low-friction system, as long as we don't change it. :)</div><div><br></div><div>If we had to move to PSF copyright assignment I'd be OK with it (and I doubt other main contributors would have an issue) but the trick would be tracking down all other contributors and getting their sign off, and also getting MS to sign off on it (although the MS of today would probably be more amenable than the MS of 5 years ago).</div><div><br></div><div>Alternatively, maybe the *binaries* can be (c) PSF, but the code copyrights remain the same as they are. Not sure if that's a thing. Then the PSF would have no issues distributing the binaries. I'm pretty sure the Apache license is enough to give the PSF (though their representative) permission to build binaries from the source and distribute them, but IANAL, etc.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span class=""><br>

> Security-wise, it is very important to minimize the number of people who have access to the<br>

> certificate. Code signed with this certificate is basically given a free pass by most virus scanners<br>

> and security software.<br>

<br>

</span>I don't think that's a true statement. Decent virus scanners<br>

will still scan the files for malicious content, even if signed.<br>

<br>

It's true that minimizing the possible attack surface is always<br>

preferred, though.<br>

<span class=""><br>

> If we decide to start signing IronPython with the PSF certificate, I'd be most comfortable if I were<br>

> doing the builds to avoid sharing the certificate any further than needed. But that isn't going to<br>

> scale when all the other interpreters want equal treatment.<br>

><br>

> I'm not sure exactly what the cost of the certificate is to the PSF, but it may be an expense<br>

> they're willing to take to get separate certs?<br>

<br>

</span>We can only get one code signing certificate per organization from<br>

our certificate provider StartSSL.<br></blockquote><div><br></div><div>I don't have an issue with Steve building them; the release process is pretty much a single make step. It's a mild annoyance for each of us, but it would only be for final releases, so only 2-3 times a year at most.</div><div><br></div><div>- Jeff</div></div></div></div>