PyPI 引入了新的安全特性,即 Index-Hosted Digital Attestations,通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来,利用密钥签名将分发包的身份(名称和摘要)与其来源(生成它的 GitHub 仓库或其他来源)进行加密绑定。
Sigstore 是一种免费且与生态系统无关的软件签名服务,它使开发者能够签署、验证和保护他们的软件项目及其依赖项。
Trail of Bits