扩展受信任发布者支持
从今天开始,PyPI 包维护者可以通过来自另外三个提供商的受信任发布来发布
- GitLab CI/CD
- Google Cloud
- ActiveState
这些提供商加入了现有的支持,从 GitHub Actions 发布,无需长期密码或 API 令牌,我们去年宣布了这一消息,并将受信任发布支持扩展到更多托管提供商。
关于受信任发布
受信任发布是我们在使用 OpenID Connect (OIDC) 标准来交换受信任第三方服务和 PyPI 之间的短期身份令牌时的术语。此方法可用于自动化环境,并消除在发布时使用用户名/密码组合或长期手动生成的 API 令牌来对 PyPI 进行身份验证的需要。
相反,维护者可以配置 PyPI 以信任由给定 OpenID Connect 身份提供者 (IdP) 提供的身份。这允许 PyPI 验证并委派对该身份的信任,然后该身份被授权从 PyPI 请求短期、范围严格的 API 令牌。这些 API 令牌永远不需要存储或共享,通过快速过期自动轮换,并提供已发布包与其来源之间的可验证链接。
立即开始
要开始在 PyPI 上使用受信任发布者,请查看我们的文档:https://docs.pypi.ac.cn/trusted-publishers/.
致谢
实施 Google Cloud 和 GitLab 支持的工作资金由 Google 开源安全团队提供,大部分开发工作由 Trail of Bits 完成,特别感谢贡献者 William Woodruff 和 Facundo Tuesca.
ActiveState 支持由 ActiveState 提供,特别感谢贡献者 Carey Hoffman 和 Pete Garcin.
Dustin Ingram 是 Python 包索引的维护者。