https://www.opennet.ru/opennews/art.shtml?num=62234
https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/
https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
https://peps.python.org/pep-0740/
https://blog.trailofbits.com/2022/11/08/sigstore-code-signing-verification-software-supply-chain/
В прошлом году они убрали (
b3b47ad4d00d6daefad47943d8f4eaafadfd4bed)
поддержку PGP подписей, сделав невозможным "передачу" доверия напрямую
от автора конечному пользователю пакета. Теперь же они сделали систему,
построенную вокруг X.509, Certificate Transparency и OpenID Connect
третьего лица.