主要观点：

• 个人观点不代表雇主等，强调下文观点仅为个人意见。
• 大规模重视安全意味着迎合用户，将工程资源分配给能让最大用户群体受益的安全举措，导致对机构和现有服务有偏见，开源参与者应抵制此偏见但不应因意识形态纯粹而破坏共同安全利益。
• 因 Seth Larson 鼓励而写此文，围绕 PEP 740 及其在 PyPI 的实施引发诸多讨论，包括对 PyPI 选择的担忧，如从 GitHub 获取证明导致不公平社会压力、存在供应商偏见、认为证明不好应回退使用 PGP 签名等。
• 明确 PyPI 支持的可信发布不限于 GitHub，基于开放标准，添加新的可信发布者和证明源不简单，并非所有服务都适合作为可信发布者，且可信发布和 PEP 740 未增加对已用 CI/CD 提供者的信任。
• 大多数开源维护者不是安全专家，不想成为，安全是实现目标过程中要跨越的障碍，可将安全功能转化为可用性功能或将部分安全责任委托给服务，2024 年 Python 生态的服务主要是 GitHub。
• GitHub 是当前开源项目的主要集中地，PyPI 构建安全功能应从 GitHub 开始，以服务 Python 社区，但不应停止扩展，应挑选有实际效益的战斗去打。
• 关于 PyPI 是否有责任改变集中地的讨论，认为其主要责任是服务使用它的社区，应使用开放标准与社区大量使用的服务互操作，同时应增加可信发布者的集成，但要考虑实际效益。
• 预计会有人将证明视为包质量或安全的信号，应支持电子邮件身份用于证明，扩大可信发布者和证明支持范围以解决此问题。

关键信息：

• 介绍个人博客相关链接，如[Home]、[Tags]等。
• 提及 PEP 740 在 PyPI 的实施及引发的各种担忧和批评。
• 阐述关于可信发布的多个要点，如支持的提供者、技术基础、添加新提供者的难度等。
• 强调开源维护者与安全的关系及应对方式。
• 说明 GitHub 在开源中的重要地位及 PyPI 应如何对待。
• 讨论 PyPI 在安全方面的责任和行动方向。

重要细节：

• 给出具体数据，如 447148 个有 URL 的包中 378613 个列出“github.com”，占比 84.7%，GitLab 为第二受欢迎主机但占比 1.99%。
• 解释维护 OIDC IdP 的复杂性和规模效益，如需要离线密钥、值班人员等，小规模时与普通 API 令牌差异不大。
• 提及关于“let’s bring back PGP”的看法及假设基于身份的签名将是未来方向。
• 讨论讨论的平台，如 Mastodon、Reddit、Bluesky。