<div dir="ltr"><div class="gmail_default" style="font-size:small">+1</div><div class="gmail_default" style="font-size:small">Anita</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Aug 22, 2016 at 1:55 PM, Paolo Cavallini <span dir="ltr"><<a href="mailto:cavallini@faunalia.it" target="_blank">cavallini@faunalia.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Il 22/08/2016 13:47, Tim Sutton ha scritto:<br>
> Hi<br>
><br>
> Following our verbal discussion here is my proposed update:<br>
><br>
> -------<br>
> The core team of QGIS strives hard to provide the most advanced and<br>
> user friendly GIS for free use by everyone. In the core QGIS project,<br>
> every line of code that gets committed is<br>
> subject to peer review when contributed by a non core developer. This<br>
> gives us an opportunity to identify and correct inadvertent (or<br>
> intentional) security issues that a developer may introduce into the code<br>
> base. By contrast, all of the plugins that are published via the QGIS<br>
> plugin repository are reviewed by the plugin developers themselves and<br>
> we don't have good insight into how much due diligence is applied to<br>
> plugin code management.<br>
><br>
> The vast majority of our plugins (listed in <a href="http://plugins.qgis.org/" rel="noreferrer" target="_blank">http://plugins.qgis.org/</a> and<br>
> inside your copy of QGIS) are developed by third parties, either<br>
> individuals, companies, and institutions. As such, they are outside our<br>
> direct control and the developers often relatively unknown to the QGIS<br>
> community.<br>
> We view this as a potential security risk. We are convinced<br>
> the risk is small, because of many factors including the "many eyes"<br>
> principle (the code is visible to everybody, and in use by thousands of<br>
> people), but cannot exclude the possibility that someone tries to<br>
> inject malicious code into a plugin.<br>
><br>
> In order to address this situation, we looked into the opportunity of<br>
> implementing automatic tools to scan plugins, before their publication,<br>
> and spot potential problems. Our research indicated that this approach<br>
> would be<br>
> difficult and costly, and easy to circumvent.<br>
><br>
> We decided therefore to implement a simple yet robust approach to<br>
> security, based on the 'web of trust' principle: we trust people we know<br>
> well in the community.<br>
> You will see on the <a href="http://plugins.qgis.org" rel="noreferrer" target="_blank">http://plugins.qgis.org</a> web site that there is a<br>
> 'Trusted Author' tag has been applied to plugins<br>
> created by those members of the community that we know and trust.<br>
><br>
><br>
> The criteria for 'Trusted Authors' includes those community members that<br>
> regularly<br>
> meet at our QGIS developer meetings, and and those that are in almost<br>
> daily contact<br>
> with the core team via our developer mailing lists or background project<br>
> discussions.<br>
> The remaining plugins (and there are wonderful,<br>
> reliable, robust, and useful plugins in the list) have not been given<br>
> the 'trusted'<br>
> label.<br>
><br>
> We would be delighted if a side effect of this choice would<br>
> be to stimulate more active and direct involvement of plugin developers<br>
> in the QGIS<br>
> community. All plugin developers are therefore invited to join us at one<br>
> of the next developer meetings (AKA HackFest), or otherwise become a<br>
> recognized, active member of the community, so they can be integrated as<br>
> 'trusted' plugin developers.<br>
><br>
> ---------<br>
<br>
</div></div>+1 from me.<br>
Thanks.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Paolo Cavallini - <a href="http://www.faunalia.eu" rel="noreferrer" target="_blank">www.faunalia.eu</a><br>
QGIS & PostGIS courses: <a href="http://www.faunalia.eu/training.html" rel="noreferrer" target="_blank">http://www.faunalia.eu/<wbr>training.html</a><br>
<br>
</div></div><br>______________________________<wbr>_________________<br>
Qgis-psc mailing list<br>
<a href="mailto:Qgis-psc@lists.osgeo.org">Qgis-psc@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/mailman/listinfo/qgis-psc" rel="noreferrer" target="_blank">http://lists.osgeo.org/<wbr>mailman/listinfo/qgis-psc</a><br></blockquote></div><br></div>