The Python Package Index Blog
·
推出“可信发布者”
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
PyPI推出“可信发布”功能,采用OpenID Connect标准,允许包维护者使用短期身份令牌进行安全发布,增强了发布流程的安全性,并支持GitHub Actions。
🎯
关键要点
- PyPI推出了新的安全发布方法,称为“可信发布”,不再需要长期密码或API令牌。
- 可信发布使用OpenID Connect标准,在PyPI和受信任的第三方服务之间交换短期身份令牌。
- 此方法适用于自动化环境,消除了使用用户名/密码组合或手动生成API令牌的需要。
- PyPI支持与GitHub Actions的集成,用户可以通过配置PyPI信任特定的GitHub仓库和工作流来实现可信发布。
- 包维护者可以通过配置受信任的发布者,进一步提高发布工作流的安全性,例如限制只能从特定的GitHub Actions环境发布。
- 可信发布为未来的安全改进铺平了道路,允许PyPI验证项目与其源代码库之间的强链接。
- 虽然当前可信发布仅限于GitHub Actions,但未来可能支持其他提供OpenID Connect身份的服务。
❓
延伸问答
什么是PyPI的“可信发布”功能?
“可信发布”是PyPI推出的一种安全发布方法,使用OpenID Connect标准,允许包维护者通过短期身份令牌进行发布,避免使用长期密码或API令牌。
如何在GitHub Actions中使用PyPI的可信发布?
用户可以通过配置PyPI信任特定的GitHub仓库和工作流,移除用户名和密码字段,并添加生成身份令牌的权限来实现可信发布。
可信发布如何提高发布流程的安全性?
可信发布通过消除长期密码和API令牌的使用,采用短期身份令牌,增强了发布流程的安全性,并允许配置受信任的发布者。
未来PyPI的可信发布功能可能会有哪些扩展?
未来可能支持其他提供OpenID Connect身份的服务,进一步增强与项目源代码库之间的验证链接。
使用可信发布的主要好处是什么?
主要好处包括提高发布安全性、消除存储和共享API令牌的需要,以及提供项目与源代码库之间的强链接。
如何配置受信任的发布者以增强安全性?
包维护者可以配置受信任的发布者,仅允许从特定的GitHub Actions环境发布,增加额外的安全限制。
🏷️
标签
➡️
