通过签名包的安全功能为社区创新铺平道路

在 Anaconda，我们相信开源软件 (OSS) 是我们的客户和用户解锁和利用社区创新并从软件开发领域的最新和最伟大成果中获益的门户。然而，随着近期网络攻击的增加，“新常态”包括加强安全措施，以应对开源生态系统中恶意行为者的风险。

Anaconda 希望在维持开源社区的采纳和创新方面发挥作用。鉴于最近发生的这些攻击，以及拜登政府为寻求改进网络安全而发布的行政命令，我们今年早些时候发布了 conda 签名验证，作为我们为确保 OSS 采纳而持续努力的一部分。

我们的签名包框架改编自 The Update Framework，是一种为从业者和企业保护 conda 包的安全机制；conda 签名验证功能允许用户信任他们安装的 Anaconda 签名包来自可靠来源，并且与它们在 Anaconda 的安全网络上构建时完全一致。

Anaconda 只是更大的开源生态系统的一部分，因此，我们认为开源打包的挑战只能通过与更大的社区协作来解决。我们一直在与 Mamba 和 conda-forge 团队密切合作，以便在开源仓库中采用 conda 签名验证的信任和验证功能。上个月，发布了 mamba 兼容的包签名实现，您可以在此处了解更多信息。我们很高兴帮助此安全功能在未来几个月内在 conda 的开源仓库 conda-forge 中可用。

我们还在投入更多时间和精力，以继续努力支持开源打包领域的其他人在安全功能方面的工作。我们将在 2022 年初发布更多信息，解释我们与开源社区的协作者所做的工作，以使最终用户的体验更加简化、快速和安全。有关签名包以及我们如何保护开源管道的更多信息，请访问我们的博客和我们的网络研讨会，通过我们的 AnacondaCON 活动门户介绍 conda 签名验证。