Python 软件包存储库 PyPI 上线“数字认证”功能：一键验明真身、避免中招黑客山寨包

IT之家11月16日的报道显示，Python软件包存储库PyPI目前已经开始使用数字认证（Digital Attestations）功能。这一功能的引入允许软件包的维护者在发布包时添加经过身份验证的数字签名，以便进行身份验证。

长期以来，PyPI一直受到虚假软件包的威胁，许多黑客会找到已下架的合法PyPI包，重新注册同名并携带恶意软件的新包，或者直接创建名字类似知名PyPI包的山寨版本。

为了加强软件供应链的安全性，PyPI现在引入了这一"数字认证"功能。目前，开发者可以在PyPI网站上找到入口，以验证软件包文件的数字认证信息。

在技术层面上，这项"数字认证"技术基于OIDC（OpenID Connect）身份验证技术，能够明确关联PyPI上的文件与源代码库、工作流以及生成文件的提交记录。每个发布的软件包都可以验证其来源，以确保用户和企业不会下载到黑客制造的虚假包文件。此外，它也不再依赖传统的公私钥对，从根本上避免了密钥丢失或被盗的风险。

PyPI表示，符合条件的项目无需额外配置就能自动生成数字认证，例如，当软件包维护者通过GitHub Actions发布项目时，生成的包将自动带有数字认证，无需其他配置。未来，PyPI计划将这一功能扩展至其他可信发布环境。

广告声明：文内包含的对外链接（包括但不限于超链接、二维码、口令等形式）用于传递更多信息，节省挑选时间，所呈现的结果仅供参考。