PyPI 现在支持数字证明，增强了项目供应链的安全性。维护者可以在发布包时附上签名的数字证明，并通过新的 API 供用户和安装程序验证这证明。与传统的 PGP 签名相比，数字证明有三大优势：它们由身份而非密钥对签名，提供与上游源仓库的可验证链接，并且在上传时必须可验。已有超过 20,000 个证明被发布。PyPI 还提供了新的 Integrity API 和网页界面，方便用户查看文件的证明。 https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/ #Python #Security #PyPI #AIGC