GripNews🌘 在 PyPI 上的新型簽章 Attestations
➤ PyPI 新功能 Attestations 提升軟體包安全性及溯源能力。
✤ https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
過去一年來,我們與 Python Package Index(PyPI)合作開發新的安全功能:基於索引的數位鑑定,提供了便利性、加密強度和證明來源等性質,使軟體供應鏈更具完整、加密可驗證的來源。通過 Trusted Publishing 在 PyPI 上發佈軟體包時不需改變工作流程,使得包裹具備建置來源。Trusted Publishing 的成功吸引了其他生態系統的注意。由 Trusted Publishing 連接到 Sigstore,提供可驗證的機器身份,達到令人驚嘆的來源追蹤。Sigstore 將 Trusted Publishing 與證明基因結合,透過 Attetations 和來源簽署使分發和來源之間
#PyPI #簽章 #Attestations
➤ PyPI 新功能 Attestations 提升軟體包安全性及溯源能力。
✤ https://blog.trailofbits.com/2024/11/14/attestations-a-new-generation-of-signatures-on-pypi/
過去一年來,我們與 Python Package Index(PyPI)合作開發新的安全功能:基於索引的數位鑑定,提供了便利性、加密強度和證明來源等性質,使軟體供應鏈更具完整、加密可驗證的來源。通過 Trusted Publishing 在 PyPI 上發佈軟體包時不需改變工作流程,使得包裹具備建置來源。Trusted Publishing 的成功吸引了其他生態系統的注意。由 Trusted Publishing 連接到 Sigstore,提供可驗證的機器身份,達到令人驚嘆的來源追蹤。Sigstore 將 Trusted Publishing 與證明基因結合,透過 Attetations 和來源簽署使分發和來源之間
#PyPI #簽章 #Attestations
Attestations: A new generation of signatures on PyPI
For the past year, we’ve worked with the Python Package Index (PyPI) on a new security feature for the Python ecosystem: index-hosted digital attestations, as specified in PEP 740. These attestations improve on traditional PGP signatures (which have been disabled on PyPI) by providing key usability, index verifiability, cryptographic strength, and provenance properties that bring […]