PyPI 博客

宣布 PyPI 恶意软件报告和响应项目的启动

我们很高兴地宣布，PSF 已从安全与新兴技术中心(CSET) 获得资金，用于开发和改进 PyPI 上的恶意软件报告和响应基础设施。该项目将在未来一年内执行。

从今天开始，所有来自启用了双重身份验证的用户帐户的上传都将需要使用API 令牌或受信任的发布者配置来代替他们的密码。

大家好！我是 Mike，是 PyPI 管理团队的新成员。很高兴认识你！

我们一直在努力减少存储的 IP 地址数据量，并且正在取得进展。

PyPI 做出的一个关键安全承诺是，当你下载某些内容时，只有与该项目相关的人才能上传、删除或以其他方式修改项目。当你查看该项目并发现它归你信任的人所有时，你可以确信没有其他人正在对 PyPI 上的该包进行更改。

在 2023 年 3 月和 4 月，Python 软件基金会 (PSF) 收到了三 (3) 份关于 PyPI 用户数据的传票。所有三份传票均由美国司法部签发。PSF 没有获得有关这些传票周围法律情况的背景信息。总共请求了与五个 (5) 个 PyPI 用户名相关的用户数据。

如果你目前正在上传签名，你的包上传将继续成功，但任何 PGP 签名将被静默忽略。如果你目前正在下载 PGP 签名，现有签名应该继续可用¹，但不会提供新的签名。相关的 API 字段（如 has_sig）都被硬编码为始终为 False。

我们很高兴地宣布亚马逊网络服务 (AWS) 成为 PyPI 的首个安全赞助商，在一年内投资 144,000 美元，为 PyPI 基础设施和运营的关键增强提供资金，包括创建一个新的“PyPI 安全与安全工程师”职位。

今天，我们正在推出我们计划的第一步，该计划旨在为 Python 包索引 (PyPI) 建立财务支持和长期可持续性，同时为我们的用户提供我们最需要的功能之一：组织帐户。

从今天开始，PyPI 包维护者可以采用一种新的、更安全的发布方法，该方法不需要与外部系统共享长期密码或 API 令牌。

今天，我们很高兴地推出blog.pypi.org，这是 Python 包索引的官方博客。

我从 Python 社区成员那里听到的最常见的重复内容是，无论他们已经存在几天还是几年，都是“我不知道 PyPI...”。然后是类似于以下内容的内容