此前,PyPI一直面臨著虛假軟件包的威脅。黑客常會尋找已下架的合法PyPI包,重新注冊并上傳帶有惡意代碼的新包,或者創建與知名PyPI包相似的山寨版本。這種行為給用戶和企業帶來了巨大的安全風險。
符合條件的項目在發布時無需額外配置即可自動生成數字認證。例如,當軟件包維護者通過GitHub Actions發布項目時,生成的軟件包將自動附帶數字認證。這一便捷性使得數字認證功能更易于被廣大開發者接受和使用。
PyPI表示,未來他們計劃將數字認證功能推廣至其他可信的發布環境,以進一步提升整個Python生態系統的安全性。這一舉措無疑將為Python開發者提供更加安全、可靠的軟件包下載環境。
