У Python з’явилась нова система аутентифікації пакетів

Розробники репозиторію Python-пакетів PyPI (Python Package Index) оголосили про впровадження нового механізму цифрової атестації для перевірки справжності опублікованих пакетів. Він прийшов на заміну верифікації з використанням PGP-підписів, повідомляється на сайті спільноти PyPi.

Ключовою відмінністю атестації є те, що публікація пакета засвідчується не розробником, а третьою особою (каталогом пакетів) після підтвердження достовірності публікації через зовнішнього провайдера OpenID Connect (наприклад, після перевірки, що пакет пов’язаний з відповідним репозиторієм на GitHub).

Система атестації усуває недоліки, властиві механізму верифікації за PGP-підписами, який визнано застарілим. У новій системі підписи для завірення пакетів створюються з використанням тимчасових ключів, які генеруються на основі повноважень, підтверджених провайдерами OpenID Connect. У момент створення ключів, необхідних для створення цифрового підпису, розробник ідентифікує себе через провайдера OpenID, що підтверджує його зв’язок з основним проектом.

Наприклад, при публікації пакета через GitHub Action атестація визначає верифікований і підтверджений зв’язок між файлом, що міститься в PyPI, репозиторієм, workflow-процесом і hash-комітом, на основі якого сформований пакет.

Впровадження нової атестації знаходиться на початковому етапі: з 360 пакетів, які найчастіше завантажуються в PyPI, атестація задіяна поки для 21 пакета і лише на стороні PyPI, без підтримки на стороні клієнтів. Втім, динаміка впровадження в усій Python-спільності є позитивною: вже опубліковано понад 20 000 атестацій у різних пакетах.