本文介绍了PyPI(Python Package Index)上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建,无需长期存在的APIToken和密码,降低了供应链攻击和凭据泄露的风险,简化了发布工作流程,允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。
Trail of Bits