PyPI 现已支持数字认证 (blog.pypi.org)

Python包索引（PyPI）现在支持数字认证，以增强项目供应链的安全性。包维护者可以在发布时发布已签名的数字认证，消费者和安装程序可以使用新的API和Web界面验证这些认证。与传统的PGP签名相比，数字认证具有三个关键优势：基于身份而非密钥对进行签名，提供与上游源代码库的可验证链接，并且上传时会验证其有效性。目前，如果项目是从GitHub Actions发布，通过可信发布，并使用pypa/gh-action-pypi-publish操作进行发布，则默认情况下会生成和发布认证。