PyPI 引入了新的安全特性,即 Index-Hosted Digital Attestations,通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来,利用密钥签名将分发包的身份(名称和摘要)与其来源(生成它的 GitHub 仓库或其他来源)进行加密绑定。
本文介绍了PyPI(Python Package Index)上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建,无需长期存在的APIToken和密码,降低了供应链攻击和凭据泄露的风险,简化了发布工作流程,允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。
Trail of Bits