William Woodruff 发表博客文章指出,PyPI 的可信发布不应被理解为软件包可信或质量的信号,而仅仅是一种身份验证方式。 这澄清了开发者中一个常见误解,否则可能导致对可信发布的过度依赖,影响软件供应链安全决策。 Woodruff 强调,可信发布使用 OpenID Connect(OIDC)在 CI/CD 工作流与 PyPI 之间建立身份,且 PyPI 故意避免将其显示为绿色勾选标记。
背景
可信发布是 PyPI 引入的一种机制,允许在不存储长期 API 令牌的情况下发布软件包。它使用 OIDC 在可信第三方服务(如 GitHub Actions)与 PyPI 之间交换短时身份令牌。该机制旨在简化发布工作流,但 Woodruff 警告不应将其与软件包可信或安全保证混为一谈。