Python 軟件包存儲庫 PyPI 上線“數(shù)字認(rèn)證”功能：一鍵驗(yàn)明真身、避免中招黑客山寨包

IT之家 11 月 16 日消息，Python 軟件包存儲庫 PyPI 現(xiàn)已上線數(shù)字認(rèn)證（Digital Attestations）功能，這項(xiàng)功能允許軟件包維護(hù)者在發(fā)布包時(shí)附加經(jīng)過身份驗(yàn)證的數(shù)字簽章，以便于驗(yàn)明正身。

長期以來，PyPI 一直受到虛假軟件包困擾，大量黑客尋找已下架的合法 PyPI 包，重新注冊相同名稱并上傳帶有惡意木馬的新包，或直接新建名稱類似知名 PyPI 包的山寨版本。

而如今 PyPI 引入這套“數(shù)字認(rèn)證”功能正是為了強(qiáng)化軟件供應(yīng)鏈安全性，目前開發(fā)者可以在 PyPI 網(wǎng)站中找到入口，以便于驗(yàn)證包文件數(shù)字認(rèn)證信息。

在技術(shù)層面上，這套“數(shù)字認(rèn)證”技術(shù)基于 OIDC（OpenID Connect）身份認(rèn)證技術(shù)，能夠明確關(guān)聯(lián) PyPI 上的文件與其上游源代碼庫、工作流以及生成文件的提交記錄。每個(gè)發(fā)布的包都可被驗(yàn)證來源，確保用戶和企業(yè)不會下載到黑客制造的虛假包文件。同時(shí)也不再依賴傳統(tǒng)的公私鑰對，從而根本上避免了密鑰丟失或被盜的風(fēng)險(xiǎn)。

PyPI 提到，符合條件的項(xiàng)目無需額外配置即可自動生成數(shù)字認(rèn)證，例如軟件包維護(hù)者通過 GitHub Actions 發(fā)布項(xiàng)目，其生成的包便會自帶數(shù)字認(rèn)證，無需額外配置。未來，PyPI 計(jì)劃將這一功能推廣至其他可信發(fā)布環(huán)境。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。