此前,PyPI一直面临着虚假软件包的威胁。黑客常会寻找已下架的合法PyPI包,重新注册并上传带有恶意代码的新包,或者创建与知名PyPI包相似的山寨版本。这种行为给用户和企业带来了巨大的安全风险。
符合条件的项目在发布时无需额外配置即可自动生成数字认证。例如,当软件包维护者通过GitHub Actions发布项目时,生成的软件包将自动附带数字认证。这一便捷性使得数字认证功能更易于被广大开发者接受和使用。
PyPI表示,未来他们计划将数字认证功能推广至其他可信的发布环境,以进一步提升整个Python生态系统的安全性。这一举措无疑将为Python开发者提供更加安全、可靠的软件包下载环境。
