2023

bdist_egg 上传到 PyPI 的弃用

PEP 715，弃用 bdist_egg/.egg 上传到 PyPI 已被接受。我们将在今天开始实施这一过程。

请注意，这 **不会** 从 PyPI 中删除任何已上传的鸡蛋。

我们很高兴地宣布，PSF 已从安全与新兴技术中心 (CSET) 获得资金，用于开发和改进 PyPI 上的恶意软件报告和响应基础设施。该项目将在未来一年内执行。

从今天开始，所有来自已启用 2FA 的用户帐户的上传都将需要使用 API 令牌或受信任的发布者配置来代替其密码。

大家好！我是 Mike，PyPI 管理团队的新成员。很高兴认识你！

我们一直在努力减少存储的 IP 地址数据量，并且取得了进展。

PyPI 做出的主要安全承诺之一是，当你下载某样东西时，只有与该项目相关的人员才能上传、删除或以其他方式修改该项目。当你查看该项目并看到它归你信任的人员所有时，你可以确信，没有其他人正在 PyPI 上对该包进行更改。

在 2023 年 3 月和 4 月，Python 软件基金会 (PSF) 收到了三 (3) 份关于 PyPI 用户数据的传票。所有三份传票均由美国司法部发布。PSF 没有被告知有关这些传票的法律背景。总共要求了与五个 (5) 个 PyPI 用户名相关的用户数据。

如果你目前正在上传签名，你的软件包上传将继续成功，但所有 PGP 签名将被静默忽略。如果你目前正在下载 PGP 签名，现有的签名 *应该* 继续可用 ¹，但不会提供任何新的签名。相关的 API 字段（如 has_sig）都已硬编码为始终为 False。

我们很高兴地宣布亚马逊网络服务 (AWS) 成为 PyPI 的首个安全赞助商，将在一年内投资 144,000 美元，用于为 PyPI 基础设施和运营提供关键增强功能，包括创建一个新的“PyPI 安全与安全工程师”职位。

今天，我们将推出构建 Python 包索引 (PyPI) 财务支持和长期可持续性的计划的第一步，同时为我们的用户提供我们最常请求的功能之一：组织帐户。

从今天开始，PyPI 包维护者可以采用一种新的、更安全的发布方法，该方法不需要将长期密码或 API 令牌共享给外部系统。