<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 25, 2018 at 2:13 AM, Daniel Silk <span dir="ltr"><<a href="mailto:dsilk@linz.govt.nz" target="_blank">dsilk@linz.govt.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all<br>
<br>
I am currently involved in rolling QGIS 2.18 out in a corporate environment. The security risk of a user installing a malicious plugin from the Official Plugin Repository has come up.<br>
<br>
While we can ensure our corporate plugin repository is immediately visible to all corporate users via a startup.py script, it appears that we:<br>
- cannot remove the Official Plugin Repository from the repository list (due to <a href="https://github.com/qgis/QGIS/blob/release-2_18/python/pyplugin_installer/installer_data.py#L316-L326" rel="noreferrer" target="_blank">https://github.com/qgis/QGIS/b<wbr>lob/release-2_18/python/pyplug<wbr>in_installer/installer_data.<wbr>py#L316-L326</a>)<br>
- cannot disable the Official Plugin Repository via Python API (and the user would just be able to enable via the Plugin Manager interface anyway)<br>
- cannot set the Plugin Manager interface to only show trusted plugins<br>
- cannot set the url parameters to include trusted=true as the url params are hardcoded: <a href="https://github.com/qgis/QGIS/blob/release-2_18/python/pyplugin_installer/installer_data.py#L228" rel="noreferrer" target="_blank">https://github.com/qgis/QGIS/b<wbr>lob/release-2_18/python/pyplug<wbr>in_installer/installer_data.<wbr>py#L228</a><br>
<br>
So is there any other way to remove the Official Plugin Repository or limit the plugins that we allow users to view and install?<br></blockquote><div><br></div><div><br>Not for QGIS 2.x sorry, QGIS 3 QgsSettings global settings allow to customize installations for deployment on organizations but it was introduced in QGIS 3 only.<br><br clear="all"></div></div><br>-- <br><div class="m_-528418418055764632gmail_signature" data-smartmail="gmail_signature">Alessandro Pasotti<br>w3:   <a href="http://www.itopen.it" target="_blank">www.itopen.it</a></div>
</div></div>