William Woodruff 是 Trail of Bits 的工程总监,负责最近的 PyPI数字证明项目。
该功能基于开放标准,但启动时针对 GitHub 进行了实现,这导致了 PyPI 故意偏向 GitHub 而不是其他平台的反驳(甚至一些阴谋论)。
威廉在这里主张实用主义高于意识形态:
认真对待大规模安全性意味着要满足用户所在的位置。实际上,这意味着决定如何划分有限的工程资源池,以便最大的用户群体从安全计划中受益。这导致了对机构和现有服务的根本偏见,因为普通用户属于这些机构服务,并且个人并不特别关心安全性。开源参与者可以而且应该努力抵消这种制度偏见,但出于意识形态的纯洁性而这样做会损害我们共同的安全利益。
原文: https://simonwillison.net/2024/Nov/19/securing-people-where-they-are/#atom-everything