Newest Python PEPs
·
PEP 807:支持可信发布的索引
💡
原文英文,约2700词,阅读约需10分钟。
📝
内容提要
PEP 807 提出了一个标准机制,使任意 Python 包索引支持“可信发布”。该机制旨在封装 PyPI 的现有实现,允许其他索引以可发现和互操作的方式实现相同方案。可信发布使用短期身份凭证进行安全的凭证交换,已在 PyPI 广泛采用,旨在解决缺乏标准的问题,促进第三方索引的采用,并确保与现有上传客户端的兼容性。
🎯
关键要点
- PEP 807 提出了一个标准机制,使任意 Python 包索引支持“可信发布”。
- 该机制旨在封装 PyPI 的现有实现,允许其他索引以可发现和互操作的方式实现相同方案。
- 可信发布使用短期身份凭证进行安全的凭证交换,已在 PyPI 广泛采用。
- 缺乏标准的可信发布机制阻碍了第三方索引的采用。
- 该提案的设计遵循 PyPI 的现有实现,并增加了发现机制,以便上传客户端能够确定任意索引是否支持可信发布。
- 该 PEP 的规范包括发现机制和凭证交换机制。
- 所有 URL 必须具有潜在的可信来源,上传客户端必须拒绝不符合此约束的 URL。
- 可信发布的安全性体现在所有发放的上传凭证都是短期的,限制了凭证被滥用的风险。
- 该 PEP 完全向后兼容现有的上传客户端和索引,确保现有功能不受影响。
❓
延伸问答
PEP 807 的主要目的是什么?
PEP 807 的主要目的是提出一个标准机制,使任意 Python 包索引支持“可信发布”,以促进第三方索引的采用并确保与现有上传客户端的兼容性。
可信发布是如何实现安全凭证交换的?
可信发布使用短期身份凭证进行安全的凭证交换,确保上传凭证的短期有效性,从而降低凭证被滥用的风险。
PEP 807 如何解决缺乏标准的问题?
PEP 807 通过标准化 PyPI 的现有实现,提供一个可发现和互操作的机制,使其他索引能够轻松实现可信发布,解决了缺乏标准的问题。
PEP 807 的发现机制是怎样的?
PEP 807 的发现机制允许上传客户端通过特定的 URL 查询,确定任意 Python 包索引是否支持可信发布,确保客户端不依赖于 PyPI 的特定实现。
PEP 807 对现有上传客户端的兼容性如何?
PEP 807 完全向后兼容现有的上传客户端和索引,确保现有功能不受影响,用户可以继续使用现有的上传流程。
PEP 807 中的凭证交换机制包括哪些步骤?
凭证交换机制包括三个步骤:获取预期的 OIDC 受众、从可信发布提供者获取身份凭证,以及使用身份凭证向索引请求上传凭证。
➡️
