<div dir="ltr">(Since this thread was last active there have been very promising discussions on security that could see the day for OPAM 1.3.)<br><div><br>This list may be interested in the recent plan/proposal for security in Hackage (Haskell's package distribution infrastructure), which are basically "follow TUF":<br>  <a href="http://www.well-typed.com/blog/2015/04/improving-hackage-security/">http://www.well-typed.com/blog/2015/04/improving-hackage-security/</a><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 30, 2015 at 12:01 PM, ygrek <span dir="ltr"><<a href="mailto:ygrek@autistici.org" target="_blank">ygrek@autistici.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sat, 17 Jan 2015 16:19:46 +0100<br>
</span><span class="">Gabriel Scherer <<a href="mailto:gabriel.scherer@gmail.com">gabriel.scherer@gmail.com</a>> wrote:<br>
<br>
> As far as I know, the current status is that OPAM checks downloaded<br>
> packages against the checksum in opam-repository, so it protects<br>
> against an attacker changing upstream releases, assuming the<br>
> opam-repository remains trusted and there is no man-in-the-middle<br>
> (MITM) attack when the user downloads the metadata -- afaik it uses<br>
> only HTTP currently.<br>
<br>
</span>Also note that client doesn't require checksums by default, and enabling the option<br>
to require checksums makes it abort on any repository-pinned package :(<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Platform mailing list<br>
<a href="mailto:Platform@lists.ocaml.org">Platform@lists.ocaml.org</a><br>
<a href="http://lists.ocaml.org/listinfo/platform" target="_blank">http://lists.ocaml.org/listinfo/platform</a><br>
</div></div></blockquote></div><br></div>