npm 推出了 Trusted Publishing 机制,基于 OpenID Connect,允许通过 CI/CD 工作流安全发布,降低长期 token 泄露风险。每次发布使用短期凭证,建议开源项目逐步迁移至此机制,以增强供应链安全。
自2023年推出以来,Trusted Publishing受到广泛欢迎,允许软件构建平台代表用户发布包到PyPI,简化身份验证管理。到2024年,约45,000个项目已配置此功能。现已在GitLab自托管实例中推出测试版,支持组织更安全地发布包,确保项目归组织所有,简化管理。
完成下面两步后,将自动完成登录并继续当前操作。
