💡
原文中文,约3000字,阅读约需7分钟。
📝
内容提要
npm 推出了 Trusted Publishing 机制,基于 OpenID Connect,允许通过 CI/CD 工作流安全发布,降低长期 token 泄露风险。每次发布使用短期凭证,建议开源项目逐步迁移至此机制,以增强供应链安全。
🎯
关键要点
- npm 推出了 Trusted Publishing 机制,基于 OpenID Connect (OIDC),旨在提升 npm 包发布的安全性。
- 传统发布方式依赖长期有效的 npm token,一旦泄露,攻击者可以发布恶意版本,造成供应链风险。
- Trusted Publishing 允许通过 CI/CD 工作流安全发布 npm 包,减少管理长期令牌的需求。
- 每次发布使用动态签发的短期凭证,自动过期,绑定 CI 身份,降低泄露风险。
- 设置 Trusted Publishing 需要在 npm 和 CI/CD 提供商之间建立信任关系,配置相关权限。
- 建议所有开源项目逐步迁移至 Trusted Publishing 机制,以增强供应链安全。
❓
延伸问答
什么是 Trusted Publishing 机制?
Trusted Publishing 是 npm 推出的基于 OpenID Connect 的机制,允许通过 CI/CD 工作流安全发布 npm 包,减少长期 token 的管理需求。
Trusted Publishing 如何提高 npm 包发布的安全性?
它通过使用短期凭证和动态签发的访问令牌,降低了长期 token 泄露的风险,确保每次发布都绑定到特定的 CI 身份。
传统的 npm 包发布方式存在哪些风险?
传统方式依赖长期有效的 npm token,一旦泄露,攻击者可以发布恶意版本,造成严重的供应链风险。
如何设置 Trusted Publishing?
需要在 npm 和 CI/CD 提供商之间建立信任关系,并在 npm 包的设置页面配置相关权限和工作流。
使用 Trusted Publishing 需要哪些版本的 npm 和 Node?
需要 npm CLI 版本 11.5.1 或更高版本,以及 Node 版本 22.14.0 或更高版本。
为什么建议开源项目迁移至 Trusted Publishing?
因为 Trusted Publishing 是提升供应链安全的重要升级,能够有效降低 token 泄露风险,增强整体安全性。
➡️
