11 月 16 日消息�,Python軟件包存儲庫PyPI現已上線數字認證(Digital Attestations)功能�����,這項功能允許軟件包維護者在發布包時附加經過身份驗證的數字簽章,以便于驗明正身���。qfx28資訊網——每日最新資訊28at.com
長期以來,PyPI 一直受到虛假軟件包困擾�����,大量黑客尋找已下架的合法PyPI包��,重新注冊相同名稱并上傳帶有惡意木馬的新包�����,或直接新建名稱類似知名 PyPI包的山寨版本。qfx28資訊網——每日最新資訊28at.com
而如今 PyPI 引入這套“數字認證”功能正是為了強化軟件供應鏈安全性��,目前開發者可以在 PyPI 網站中找到入口�����,以便于驗證包文件數字認證信息���。qfx28資訊網——每日最新資訊28at.com
qfx28資訊網——每日最新資訊28at.com
在技術層面上�,這套“數字認證”技術基于OIDC(OpenID Connect)身份認證技術�����,能夠明確關聯 PyPI 上的文件與其上游源代碼庫、工作流以及生成文件的提交記錄。每個發布的包都可被驗證來源,確保用戶和企業不會下載到黑客制造的虛假包文件����。同時也不再依賴傳統的公私鑰對�,從而根本上避免了密鑰丟失或被盜的風險���。qfx28資訊網——每日最新資訊28at.com
PyPI提到���,符合條件的項目無需額外配置即可自動生成數字認證,例如軟件包維護者通過 GitHub Actions 發布項目����,其生成的包便會自帶數字認證��,無需額外配置。未來�����,PyPI 計劃將這一功能推廣至其他可信發布環境�。qfx28資訊網——每日最新資訊28at.com
本文鏈接:http://www.tebozhan.com/showinfo-119-123832-0.htmlPython 軟件包存儲庫 PyPI 上線“數字認證”功能:一鍵驗明真身、避免中招黑客山寨包
聲明:本網頁內容旨在傳播知識�����,若有侵權等問題請及時與本網聯系����,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: Docker 專業版 團隊版今起漲價月費 9 美元起�,個人版依然免費使用
下一篇: 微軟 Edge 131 瀏覽器穩定版發布:改進側邊欄等
標簽:
津公網安備 12010102000574號