Entre em contato conosco se você estiver envolvido em um ecossistema de embalagem (por exemplo, npm, vá, caixas, etc.) e deseja adotar mais dessas técnicas!A Pypi pode permitir que os usuários entrem no OIDC em vez de senhas, mas não está claro como isso tornaria os fluxos de trabalho da publicação, principalmente os baseados em IC, mais convenientes.Ao contrário de um token da API, no entanto, envolve apenas uma parte: o provedor de IC (e OIDC) não precisa receber um token ou qualquer outro material secreto.Além disso, não precisa ser obtido através de um fluxo interativo de OAuth2: pode ser oferecido “ambiente” como um objeto ou recurso que apenas a identidade (máquina etc.) chamamos isso de “Ressurreição da conta” e é explicitamente suportadoPela maioria dos serviços: um nome de usuário não pretende ser um identificador permanente e estável para a identidade subjacente.
Fonte: https://blog.trailofbits.com/2023/05/23/trusted-publishing-a-new-benchmark-for-packaging-security/