
<div dir="ltr"><div class="gmail_default" style="font-size:small">+1</div><div class="gmail_default" style="font-size:small">Anita</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Aug 22, 2016 at 1:55 PM, Paolo Cavallini <span dir="ltr"><<a href="mailto:cavallini@faunalia.it" target="_blank">cavallini@faunalia.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Il 22/08/2016 13:47, Tim Sutton ha scritto:<br>

> Hi<br>

><br>

> Following our verbal discussion here is my proposed update:<br>

><br>

> -------<br>

> The core team of QGIS strives hard to provide the most advanced and<br>

> user friendly GIS for free use by everyone. In the core QGIS project,<br>

> every line of code that gets committed is<br>

> subject to peer review when contributed by a non core developer. This<br>

> gives us an opportunity to identify and correct inadvertent (or<br>

> intentional) security issues that a developer may introduce into the code<br>

> base. By contrast, all of the plugins that are published via the QGIS<br>

> plugin repository are reviewed by the plugin developers themselves and<br>

> we don't have good insight into how much due diligence is applied to<br>

> plugin code management.<br>

><br>

> The vast majority of our plugins (listed in <a href="http://plugins.qgis.org/" rel="noreferrer" target="_blank">http://plugins.qgis.org/</a> and<br>

> inside your copy of QGIS) are developed by third parties, either<br>

> individuals, companies, and institutions. As such, they are outside our<br>

> direct control and the developers often relatively unknown to the QGIS<br>

> community.<br>

> We view this as a potential security risk. We are convinced<br>

> the risk is small, because of many factors including the "many eyes"<br>

> principle (the code is visible to everybody, and in use by thousands of<br>

> people), but cannot exclude the possibility that someone tries to<br>

> inject malicious code into a plugin.<br>

><br>

> In order to address this situation, we looked into the opportunity of<br>

> implementing automatic tools to scan plugins, before their publication,<br>

> and spot potential problems. Our research indicated that this approach<br>

> would be<br>

> difficult and costly, and easy to circumvent.<br>

><br>

> We decided therefore to implement a simple yet robust approach to<br>

> security, based on the 'web of trust' principle: we trust people we know<br>

> well in the community.<br>

> You will see on the <a href="http://plugins.qgis.org" rel="noreferrer" target="_blank">http://plugins.qgis.org</a> web site that there is a<br>

> 'Trusted Author' tag has been applied to plugins<br>

> created by those members of the community that we know and trust.<br>

><br>

><br>

> The criteria for 'Trusted Authors' includes those community members that<br>

> regularly<br>

> meet at our QGIS developer meetings, and and those that are in almost<br>

> daily contact<br>

> with the core team via our developer mailing lists or background project<br>

> discussions.<br>

> The remaining plugins (and there are wonderful,<br>

> reliable, robust, and useful plugins in the list) have not been given<br>

> the 'trusted'<br>

> label.<br>

><br>

> We would be delighted if a side effect of this choice would<br>

> be to stimulate more active and direct involvement of plugin developers<br>

> in the QGIS<br>

> community. All plugin developers are therefore invited to join us at one<br>

> of the next developer meetings (AKA HackFest), or otherwise become a<br>

> recognized, active member of the community, so they can be integrated as<br>

> 'trusted' plugin developers.<br>

><br>

> ---------<br>

<br>

</div></div>+1 from me.<br>

Thanks.<br>

<div class="HOEnZb"><div class="h5"><br>

--<br>

Paolo Cavallini - <a href="http://www.faunalia.eu" rel="noreferrer" target="_blank">www.faunalia.eu</a><br>

QGIS & PostGIS courses: <a href="http://www.faunalia.eu/training.html" rel="noreferrer" target="_blank">http://www.faunalia.eu/<wbr>training.html</a><br>

<br>

</div></div><br>______________________________<wbr>_________________<br>

Qgis-psc mailing list<br>

<a href="mailto:Qgis-psc@lists.osgeo.org">Qgis-psc@lists.osgeo.org</a><br>

<a href="http://lists.osgeo.org/mailman/listinfo/qgis-psc" rel="noreferrer" target="_blank">http://lists.osgeo.org/<wbr>mailman/listinfo/qgis-psc</a><br></blockquote></div><br></div>