#software supply chain

9/10

Linux 基金会联合众多行业组织宣布启动 Akrites 项目,旨在加速开源软件漏洞修复,通过协调保密补丁部署,应对 AI 辅助的漏洞利用开发。 Akrites 应对了 AI 驱动的逆向工程和漏洞利用快速生成的威胁,确保补丁在攻击者行动之前部署到关键基础设施,可能重塑开源社区处理严重漏洞的方式。 该项目强调保密性不可妥协,并将在关键包无人维护时充当最后的维护者。同时,它将与政府行动协同,协调公共和私人防御者。

Woodruff:可信发布并非可信信号

lwn.net · ⭐️ 8/10 · 2026-07-07

8/10

William Woodruff 发表博客文章指出,PyPI 的可信发布不应被理解为软件包可信或质量的信号,而仅仅是一种身份验证方式。 这澄清了开发者中一个常见误解,否则可能导致对可信发布的过度依赖,影响软件供应链安全决策。 Woodruff 强调,可信发布使用 OpenID Connect(OIDC)在 CI/CD 工作流与 PyPI 之间建立身份,且 PyPI 故意避免将其显示为绿色勾选标记。