Python软件包存储库PyPI上线了数字认证功能，旨在增强软件供应链安全性。长期以来，PyPI饱受虚假软件包困扰，黑客利用下架包名或相似名称上传恶意软件。数字认证功能通过OIDC技术，将PyPI上的软件包与源代码库、工作流和生成文件提交记录关联，确保软件包来源可验证，防止用户下载到恶意软件。该功能基于OIDC技术，可自动生成数字认证，例如通过GitHub Actions发布的软件包。未来，PyPI计划将此功能推广至其他可信发布环境，进一步提升软件包的安全性。

🤔 **PyPI上线数字认证功能，增强软件供应链安全：** PyPI长期受到虚假软件包困扰，黑客利用下架包名或相似名称上传恶意软件，导致用户下载到恶意软件，影响系统安全。数字认证功能的上线，旨在解决这一问题，提升软件供应链的安全性。

🔗 **基于OIDC技术，关联软件包与源代码库等：** 数字认证功能基于OIDC技术，能够将PyPI上的软件包与其上游源代码库、工作流以及生成文件的提交记录关联起来。这样，每个发布的软件包都可被验证来源，确保用户下载的软件包是真实的，而不是黑客制造的虚假软件包。

🛡️ **自动生成数字认证，简化开发者操作：** 符合条件的项目无需额外配置即可自动生成数字认证，例如软件包维护者通过GitHub Actions发布项目，其生成的包便会自带数字认证。这简化了开发者的操作，降低了使用门槛，方便开发者使用这一功能。

🌍 **未来推广至其他可信发布环境：** PyPI计划将这一功能推广至其他可信发布环境，进一步提升软件包的安全性。这将进一步扩大数字认证功能的影响范围，为更多用户和企业提供安全保障。

🚫 **不再依赖传统的公私钥对，避免密钥丢失或被盗风险：** 数字认证功能不再依赖传统的公私钥对，从而根本上避免了密钥丢失或被盗的风险，提升了软件包的安全性。

IT之家 11 月 16 日消息，Python 软件包存储库 PyPI 现已上线数字认证（Digital Attestations）功能，这项功能允许软件包维护者在发布包时附加经过身份验证的数字签章，以便于验明正身。

长期以来，PyPI 一直受到虚假软件包困扰，大量黑客寻找已下架的合法 PyPI 包，重新注册相同名称并上传带有恶意木马的新包，或直接新建名称类似知名 PyPI 包的山寨版本。

而如今 PyPI 引入这套“数字认证”功能正是为了强化软件供应链安全性，目前开发者可以在 PyPI 网站中找到入口，以便于验证包文件数字认证信息。

在技术层面上，这套“数字认证”技术基于 OIDC（OpenID Connect）身份认证技术，能够明确关联 PyPI 上的文件与其上游源代码库、工作流以及生成文件的提交记录。每个发布的包都可被验证来源，确保用户和企业不会下载到黑客制造的虚假包文件。同时也不再依赖传统的公私钥对，从而根本上避免了密钥丢失或被盗的风险。

PyPI 提到，符合条件的项目无需额外配置即可自动生成数字认证，例如软件包维护者通过 GitHub Actions 发布项目，其生成的包便会自带数字认证，无需额外配置。未来，PyPI 计划将这一功能推广至其他可信发布环境。