You shouldn't trust Trusted Publishing
5 days ago
- #PyPI
- #security
- #authentication
- 可信发布是一种用于机器间信任的认证方案,而非人类对于软件包安全性的信任。
- 它使用OIDC将CI/CD机器身份与软件包索引链接,颁发短期、限域范围的发布凭据。
- PyPI避免显著展示可信发布状态,以防止其被滥用作软件包质量的信任信号。
- 可信发布减少了长期有效的凭据,但如果CI/CD工作流程受到攻击,仍可能被攻破。
- 该方案是可选的,并不保证软件包的安全性;任何人都可以使用它,包括用于恶意上传。
- PyPI上的证明与可信发布是分开的,未经独立验证也不能暗示终端用户的信任。