在 Anaconda,我们相信开源软件 (OSS) 是我们客户和用户解锁和利用社区创新以及从最新的软件开发中受益的途径。然而,随着最近网络攻击的增多,“新常态”包括加强安全措施,以抵御开源生态系统中恶意行为者的风险。
Anaconda 希望在维持开源社区的采用和创新方面发挥自己的作用。鉴于最近的这些攻击,以及拜登政府寻求改进网络安全的 行政命令,我们今年早些时候发布了 conda 签名验证,作为我们持续努力确保 OSS 采用的一个部分。
我们用于签名软件包的框架改编自 The Update Framework,是一种安全机制,可以为从业者和企业保护 conda 软件包;conda 签名验证功能使用户可以确信,他们安装的 Anaconda 签名软件包来自可靠的来源,并且与它们在 Anaconda 安全网络上构建时完全一致。
Anaconda 只是更大的开源生态系统的一部分,因此,我们相信开源软件包的挑战只能通过与更大的社区合作来解决。我们一直在与 Mamba 和 conda-forge 团队密切合作,在开源仓库中采用 conda 签名验证的信任和验证功能。上个月,发布了一个与 mamba 兼容的软件包签名的实现,你可以 在这里了解有关它的更多信息。我们很高兴帮助此安全功能在未来几个月内在 conda 的开源仓库 conda-forge 中可用。
我们还在投入更多时间和精力,继续努力为开源软件包领域的其他人提供安全功能的支持。我们将于 2022 年初发布更多信息,解释我们与开源社区中的合作者合作的工作,以使最终用户的体验变得更加简化、更快、更安全。有关签名软件包以及我们如何保护开源管道的更多信息,请访问我们的 博客 和我们的 网络研讨会,该网络研讨会通过我们的 AnacondaCON 活动门户介绍 conda 签名验证。
