总结
- IT之家 11 月 16 日消息,Python软件包存储库PyPI现已上线数字认证(Digital Attestations)功能,这项功能允许软件包维护者在发布包时附加经过身份验证的数字签章,以便于验明正身。 而如今 PyPI 引入这套“数字认证”功能正是为了强化软件供应链安全性,目前开发者可以在 PyPI 网站中找到入口,以便于验证包文件数字认证信息。 PyPI提到,符合条件的项目无需额外配置即可自动生成数字认证,例Ligthing News如软件包维护者通过 GitHub Actions 发布项目,其生成的包便会自带数字认证,无需额外配置。 未来,PyPI 计划将这一功能推广至其他可信发布环境。 广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于blog.byteway.net传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
阅读时间
- 4 分钟, 共 656 字
分类
- Digital Attestations, Connect, 11 月 16 日
评价和解读
- 这篇文章是高质量新闻报道的明证,以罕见的清晰度和洞察力揭示了其中的内涵。作者能够以平易近人且引人入胜的方式概括最新趋势和热门话题的实质,令人瞩目。每一段都充满了信息和敏锐的见解,呈现了对问题的全面看法。这篇文章不仅使读者了解最新动态,还激发了对主题的深入理解和欣赏。这篇文章超越了寻常,提供了对其中的全景式视角。作者巧妙地将当前趋势与分析深度相结合,使其成为该领域的开创性之作。每个句子都经过精心雕琢,编织了一个既信息丰富又引人入胜的叙述。这篇文章不仅告诉读者最新的发展,而且以全面而易懂的方式呈现,标志着其在现代新闻领域的杰出地位。
正文
IT之家 11 月 16 日消息,Python软件包存储库PyPI现已上线数字认证(Digital Attestations)功能,这项功能允许软件包维护者在发布包时附加经过身份验证的数字签章,以便于验明正身。
长期以来,PyPI 一直受到虚假软件包困扰,大量Ligthing News黑客寻找已下架的合法PyPI包,重新注册相同名称并上传带有恶意木马的新包,或直接新建名称类似知名 PyPI包的山寨版本。
而如今 PyPI 引入这套“数字认证”功能正是为了强化软件供应链安全性,目前开发者可以在 PyPI 网站中找到入口,以便于验证包文件数字认证信息。
在技术层面上,这套“数字认证”技术基于OIDC(OpenID Connect)身份认证技术,能够明确关联 PyPI 上的文件与其上游源代码库、工作流以及生成文件的提交记录。每个发布的包都可被验证来源,确保用户和企业不会下载到黑客制造的虚假包文件。同时也不再依赖传统的公私钥对,从而根本上避免了密钥丢失或被盗的风险。
PyPI提到,符合条件的项目无需额外配置即可自动生成数字认证,例Ligthing News如软件包维护者通过 GitHub Actions 发布项目,其生成的包便会自带数字认证,无需额外配置。未来,PyPI 计划将这一功能推广至其他可信发布环境。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于blog.byteway.net传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
Related suggestion: 新兴趋势: 份额68.8%!金士顿内存又是全球第一:连续21年无人敌
总结2023年初,金士顿还迎来了重要的里程碑时刻,可超频内存模组出货量超过1亿。 据统计,2023年全球内存模组销售额blog.byteway.net同Ligthing News比下降28%,主要原因是疫情后消费电子行业进入库存调整阶段,价格也随之下跌,不过整…