PyPI هو مستودع البرامج الرسمي لتطبيقات الطرف الثالث بلغة برمجة Python.
قبل أيام قليلة نشر الخبر ذلك مستودع حزم Python PyPI (فهرس حزمة بايثون) بالفعل يوفر القدرة على استخدام طريقة آمنة جديدة لنشر الحزم، مما يلغي الحاجة إلى تخزين كلمات المرور الثابتة ورموز الوصول إلى واجهة برمجة التطبيقات في الأنظمة الخارجية (على سبيل المثال ، في إجراءات GitHub).
اسم أسلوب المصادقة الجديدناشرون موثوقون وهو مصمم لحل مشكلة التحديثات الضارة التي يتم إصدارها نتيجة الأنظمة الخارجية المخترقة وكلمات المرور المحددة مسبقًا أو الرموز المميزة التي تقع في الأيدي الخطأ.
بدءًا من اليوم ، يمكن لمشرفي حزم PyPI اعتماد طريقة نشر جديدة وأكثر أمانًا لا تتطلب كلمات مرور طويلة العمر أو رموز API المميزة لمشاركتها مع أنظمة خارجية.
يذكر أن طريقة المصادقة الجديدة هذه تمنح مزايا كبيرة في الاستخدام والأمان مقارنة بأساليب مصادقة PyPI التقليدية الأخرى:
- سهولة الاستخدام: من خلال النشر الموثوق به ، لم يعد المستخدمون بحاجة إلى إنشاء رموز API المميزة يدويًا في PyPI ونسخها ولصقها في موفر CI الخاص بهم. الخطوة اليدوية الوحيدة هي تكوين المحرر في PyPI.
- الأمن: تعتبر الرموز المميزة لواجهة برمجة تطبيقات PyPI العادية طويلة الأمد ، مما يعني أن المهاجم الذي يخرق إصدار حزمة يمكنه استخدامها حتى يلاحظه المستخدم الشرعي ويلغيها يدويًا. وبالمثل ، فإن التحميل بكلمة مرور يعني أن المهاجم يمكنه تحميل أي مشروع مرتبط بالحساب. تتجنب Trusted Publishing هاتين المشكلتين: تنتهي صلاحية الرموز المميزة تلقائيًا وتقتصر فقط على الحزم المصرح لها بالتحميل إليها.
فيما يتعلق بطريقة المصادقة الجديدة هذه ، ذكر ذلك يعتمد على معيار OpenID Connect (OIDC) ، والتي يستخدم الرموز المميزة للمصادقة المحددة بوقت والتي تم تبادلها بين الخدمات الخارجية ودليل PyPI للتحقق من صحة عملية نشر الحزمة ، بدلاً من استخدام تسجيل الدخول / كلمة المرور التقليدية أو واجهة برمجة التطبيقات الدائمة التي يتم إنشاؤها يدويًا عن طريق رموز الوصول.
"المنشور الموثوق به" هو المصطلح الخاص بنا لاستخدام معيار OpenID Connect (OIDC) لتبادل رموز الهوية قصيرة العمر بين خدمة موثوق بها من جهة خارجية و PyPI. يمكن استخدام هذه الطريقة في البيئات الآلية وتلغي الحاجة إلى استخدام مجموعات اسم المستخدم / كلمة المرور أو الرموز المميزة لواجهة برمجة التطبيقات التي يتم إنشاؤها يدويًا للمصادقة مع PyPI عند النشر.
من ناحية أخرى ، يُذكر أيضًا أن مسؤولي صيانة الحزم يمكنهم ، من جانب PyPI ، توفير معرفات الثقة لموفري OpenID الخارجيين (IdPs) ، والتي ستستخدمها الخدمة الخارجية لطلب الرموز غير الحية. من PyPI.
تؤكد رموز OpenID Connect التي تم إنشاؤها العلاقة بين المشروع ووحدة التحكم ، والذي يسمح لـ PyPI بإجراء تحقق إضافي من البيانات الوصفية ، مثل التحقق من أن الحزمة المنشورة مرتبطة بمستودع معين. الرموز ليست ثابتة ، فهي مرتبطة بواجهات برمجة تطبيقات محددة ، وتنتهي صلاحيتها تلقائيًا بعد عمر قصير.
بدلاً من ذلك ، يمكن لمشرفي خدمة PyPI تكوين PyPI للثقة في هوية مقدمة من موفر هوية OpenID Connect (IdP). يسمح هذا لـ PyPI بالتحقق من الثقة وتفويضها لتلك الهوية ، والتي يُصرح لها بعد ذلك بطلب رموز API محدودة النطاق وقصيرة العمر من PyPI. لا تحتاج الرموز المميزة لواجهة برمجة التطبيقات (API) إلى تخزينها أو مشاركتها مطلقًا ، ويتم تدويرها تلقائيًا عند انتهاء الصلاحية السريع ، وتوفر رابطًا يمكن التحقق منه بين الحزمة المنشورة ومصدرها.
الآن القدرة على استخدام الآلية "الناشرون الموثوق بهم" تم تنفيذه وتشغيله بالفعل. لوحدات التحكم التي بدأت في إجراءات GitHub. أخيرًا وليس آخرًا ، يُذكر أيضًا أن التوافق مع الناشرين الموثوق بهم للخدمات الخارجية الأخرى متوقع في المستقبل.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.