The Python Package Index Blog
·
PyPI 现已支持数字证明
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
PyPI现已支持数字证明,包维护者可在发布时附加签名以增强供应链安全性。新API允许用户验证已发布的证明,目前已有超过20,000个证明发布。此举基于PEP 740,旨在提高信任度,确保所有证明可验证且对用户有用。
🎯
关键要点
- PyPI现在支持数字证明,包维护者可以在发布时附加签名以增强供应链安全性。
- 新API允许用户验证已发布的证明,目前已有超过20,000个证明发布。
- 此举基于PEP 740,旨在提高信任度,确保所有证明可验证且对用户有用。
- 数字证明相比常规加密签名有三个主要优势:由身份签名而非密钥对、提供可验证的上游源代码仓库链接、上传时必须验证。
- PyPI提供两种方式访问与文件相关的数字证明:新的完整性API和新的网页用户界面。
- 生成和发布证明是默认进行的,符合条件的项目无需更改。
- 感谢Sovereign Tech Agency和Google开源安全团队对PEP 740的支持和资金提供。
❓
延伸问答
PyPI的数字证明有什么优势?
数字证明相比常规加密签名有三个主要优势:由身份签名而非密钥对、提供可验证的上游源代码仓库链接、上传时必须验证。
如何在PyPI上验证数字证明?
用户可以通过新的完整性API或新的网页用户界面访问与文件相关的数字证明。
PEP 740的目的是什么?
PEP 740旨在提高信任度,确保所有证明可验证且对用户有用。
目前有多少个数字证明已发布?
目前已有超过20,000个数字证明发布。
包维护者在发布时如何使用数字证明?
包维护者可以在发布时附加签名,以增强供应链安全性,生成和发布证明是默认进行的,符合条件的项目无需更改。
PyPI的数字证明是如何与源代码关联的?
数字证明通过签名上游源代码仓库的身份,定义了文件与源代码、工作流及提交哈希之间的强关联。
➡️
