近日,Python官方软件包存储库PyPI推出了一项新的安全特性——数字认证功能。此功能旨在加强软件包的安全性,让软件包维护者能够在发布包时添加一个经过身份验证的数字签章,从而帮助用户确认所下载软件包的真实性和来源。这标志着PyPI对于打击虚假软件包采取的重要步骤之一。
在过去,PyPI面临的一大挑战是假冒软件包泛滥的问题。不法分子经常利用已删除的合法包名来重新注册,并上传含有恶意代码的软件包;或是创建与知名包名字相似的仿冒品以误导用户安装。这些行为不仅威胁到了用户的计算机安全,也损害了PyPI作为可靠软件资源库的形象。
新推出的数字认证机制基于OIDC(OpenID Connect)身份验证技术构建而成,能够将PyPI上的软件包与它们的源代码仓库、构建过程及最终产物之间建立清晰可靠的联系。这意味着每一个通过该系统发布的软件包都能够追溯其开发历程,极大提高了软件供应链的整体安全性。更重要的是,这种方法不再单纯依靠公私钥对来进行签名,从而有效规避了因密钥管理不当导致的安全隐患。
值得注意的是,对于那些符合特定条件的开源项目而言,它们甚至无需手动设置任何额外参数便能享受到数字认证带来的好处。比如,如果某个软件包是通过GitHub Actions自动化流程发布的,则该流程自动生成的软件包会自动携带相应的数字认证信息。展望未来,PyPI表示将进一步扩展这一创新的安全措施,使之覆盖更多受信任的软件发布平台。这一举措无疑将为Python社区带来更加安全可靠的开发体验。返回搜狐,查看更多
责任编辑: