PyPI 引入“可信发布”机制


PyPI 官方宣布,从今天开始他们引入了'Trusted Publishers'(可信发布)机制,PyPI 包维护者可以采用一种新的、更安全的发布方法,不需要与外部系统共享长期密码或 API 令牌。

据介绍,“可信发布”是使用 OpenID Connect (OIDC) 标准在可信第三方服务和 PyPI 之间交换短期身份令牌的术语。此方法可用于自动化环境,在发布时无需使用用户名/密码组合或手动生成的 API 令牌通过 PyPI 进行身份验证。

PyPI 维护者可以将 PyPI 配置为信任给定 OpenID Connect 身份提供者 (IdP) 提供的身份。这允许 PyPI 验证身份并将信任委托给该身份,然后授权该身份从 PyPI 请求短期的、范围严格的 API 令牌。这些 API 令牌永远不需要存储或共享,通过快速过期自动轮换,并在已发布的包及其来源之间提供可验证的链接。

PyPI 介绍了通过 GitHub Actions 使用可信发布机制的方式:

jobs:
 pypi-publish:
 name: upload release to PyPI
 runs-on: ubuntu-latest
+permissions:
+# IMPORTANT: this permission is mandatory for trusted publishing
+id-token: write
 steps:
 # retrieve your distributions here

 - name: Publish package distributions to PyPI
 uses: pypa/gh-action-pypi-publish@release/v1
-with:
-username: __token__
-password: ${{ secrets.PYPI_TOKEN }}

详细使用方法查看文档:https://docs.pypi.org/trusted-publishers/ 


相關推薦

2023-05-30

份验证,否则该帐号将无法登录。   在 4 月,PyPI 引入了 “可信发布” 机制,这是一种新的、更安全的发布方法,不需要与外部系统共享长期密码或 API 令牌。但这仍然不够,回想过去几个月,PyPI 平台饱受恶意软件的上

2022-07-12

排名前 1% 的 PyPI 项目都被指定为关键项目。在该公告发布时,PyPI 上共有超过 350K 的项目,因此有超过 3500 个项目被指定为"关键";但这一数据每天都会进行刷新。此外,Python 软件基金会 (PSF) 的赞助商 Google 开源安全团队,

2023-02-17

支持以来,Terraform 资源库得到了快速采用,“这是我们引入的所有新软件包类型中增长最快的一种”。报告称,这表明企业看到了将这些文件的管理从 Git 和其他存储方式中转移到一个功能齐全的基于二进制的管理解决方案中的

2022-08-03

载地址:https://dl.gitea.io/gitea/1.17.0/ 值得关注的变化 引入包管理服务 (Package Registry) #16510 Gitea 1.17.0 新增了支持各种软件包管理器 (Composer, Conan, Generic, Helm, Maven, npm, NuGet, OCI Containers (Docker), PyPI & RubyGems) 的包管理服务 (Packa

2022-03-31

  scope 外,还有 、、 和  也是目标。在这些恶意包发布大约两天后,JFrog 向 NPM 维护人员进行了披露,其迅速进行了删除;但在此之前,每个软件包已平均被下载了约 50 次。 根据介绍,攻击人员使用的软件供应链攻击方法

2023-02-08

VirtualEnv 20.18.0 现已发布,VirtualEnv 用于在一台机器上创建多个独立的 Python 运行环境,可隔离项目之间的第三方包依赖,为部署应用提供方便,把开发环境的虚拟环境打包到生产环境即可,不需要在服务器上再折腾一翻。 

2023-04-27

版本,并且我们期待了解您的使用体验。 重要特性 1. 引入在线推理服务需要的接口和基础设施 在机器学习中,模型训练的主要目标之一是将已训练好的模型部署并支持在线推理。在线推理服务需要以毫秒级延迟响应传入请求

2023-06-16

独的软件包 —— jupyter\_collaboration 中,其 1.0.0 版本现已发布。亮点包括支持显示多个游标和选择,以及支持注册新的共享模型类型。 新的扩展管理器:在 JupyterLab 4 中,扩展管理器包括预建的 Python 扩展和来自 pypi.org 的

2023-08-09

设计请参考ArkUI跨平台设计总体说明。 版本概述 首次发布ArkUI-X 1.0.0 Canary1版本,主要能力范围包括: 应用开发范式:支持基于ArkTS的声明式开发范式。 应用开发模型:支持Stage开发模型。 开发者工具:提供DevEco Studio(ID

2023-12-03

playwright、pyppeteer 或 ink。 添加新动作 DetailMining。 引入 open-interpreter 作为代码编写和运行的工具。 添加新动作 PrepareInterview 用于软件面试准备。 添加 OpenAI 审核。 添加新角色 SkAgent,一个具有基础规划器和动作规

2022-06-28

F 将向 PSF 提供 40 万美元,以创建一个 new role,为 Python、PyPI 和 Python 生态系统的其他部分提供安全专业知识,以及资助安全审计。“这项投资将使 PS F能够正式确定现有的安全实践,并进行更积极的安全改进。这个 new role 将负

2024-08-27

ter, Compactor, Store, Query, QueryFrontend, Ruler 等组件以及 Whizard 引入的 Service, Tenant, Storage 等。 基于租户的自动水平扩展机制:基于 CPU 与 Memory 的 HPA 对于稳定性要求更高的企业级有状态工作负载并不是最好的选择,为此 Whizard 创造

2022-04-29

近日 Google 正式发布了 Chrome 101 稳定版本,在新版本中引入了多项新功能。如果你已经看过了更新内容,那么就这些新特性而言,Chrome 101 版本并没有十分特别,甚至可以说有点乏善可陈。 事实上,Google 在该版本中还引入了两

2022-10-15

绕代码流通的全链路进行安全管理。 1. 来源可控 对于引入的开源组件,通过合规检查、安全漏洞扫描、静态代码分析、动态代码分析等技术手段,确保引入openKylin社区的开源组件代码来源清晰、透明、安全。 2. 设计可控 成