作者:William Woodruff (Trail of Bits),Dustin Ingram (Google),Hayden Blauzvern (Google)
请查看 PyPI 博客[1]和 Trail of Bits 博客[2],获取更多用户相关和技术细节!
在过去一年中,Google 开源安全团队与 Trail of Bits 合作,实施了 PEP 740[3],这是一个允许用户将基于 Sigstore 的认证上传到 Python Package Index[4]。
今天,我们很高兴地宣布,PyPI 上的认证支持现已普遍可用,这意味着项目维护者可以提交认证,以便 PyPI 和下游用户进行验证。
认证的重要一环是默认启用:如果项目使用受信发布[5]和标准的 GitHub Action[6],则默认会生成认证,无需进行任何更改。
这是因为受信发布已经使用与 Sigstore 相同的 OpenID Connect[7] 构建模块,这意味着现有工作流可以使用无密钥签名[8]。换句话说,生成和上传认证不需要项目维护者进行密钥管理,同时带来了 Sigstore 的密钥透明性和可审计性[9]。
得益于这一默认设置,发布者对认证的采用非常迅速:迄今为止,已有超过 20,000 个独立认证上传到 PyPI,而在前 360 个项目中,超过 5% 已经在发布认证。
要跟踪生态系统的整体进展,请关注我们实现 PEP 740 了吗?[10],该页面会随着更多顶级项目发布新认证版本而自动更新。
PyPI 博客: https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/
[2]Trail of Bits 博客: https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
[3]PEP 740: https://peps.python.org/pep-0740/
[4]Python Package Index: https://pypi.org/
[5]受信发布: https://docs.pypi.org/trusted-publishers/
[6]标准的 GitHub Action: https://github.com/pypa/gh-action-pypi-publish
[7]OpenID Connect: https://openid.net/developers/how-connect-works/
[8]无密钥签名: https://docs.sigstore.dev/cosign/signing/overview/
[9]透明性和可审计性: https://docs.sigstore.dev/logging/overview/
[10]我们实现 PEP 740 了吗?: https://trailofbits.github.io/are-we-pep740-yet/
点击【阅读原文】阅读网站原文。
文章转载自LFAPAC。点击这里阅读原文了解更多。
CNCF概况(幻灯片)
扫描二维码联系我们!
CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。请关注CNCF微信公众号。
