RubyGems.org 将支持Buildkite作为可信发布者

RubyGems.org作为Ruby生态中最重要的包管理平台，正在持续改进其发布流程的安全性。最新进展显示，平台即将支持Buildkite CI作为可信发布者(Trusted Publisher)，这将为使用Buildkite进行持续集成的开发者带来更安全便捷的gem发布体验。

可信发布者机制解析

可信发布者是RubyGems.org引入的一种安全发布机制，其核心思想是允许特定的CI/CD平台直接向RubyGems.org发布gem包，而无需依赖传统的API密钥。这一机制具有以下技术优势：

1. 不关联特定用户账号，降低了密钥泄露风险
2. 默认配置更安全，减少了人为配置错误
3. 仅授予发布权限，遵循最小权限原则

该机制基于OIDC(OpenID Connect)协议实现，通过验证CI平台提供的身份凭证来授权发布操作。目前GitHub Actions已经作为首个可信发布者被集成到系统中。

Buildkite集成进展

Buildkite团队已经完成了多项准备工作：

1. 在RubyGems 3.6.0版本中实现了--attestation标志支持
2. 与sigstore项目合作，为OIDC令牌生成的证书添加扩展字段
3. 测试了基于API Key Roles的OIDC集成方案

技术实现上，Buildkite将采用与GitHub Actions类似的集成方式。开发者只需在RubyGems.org上为特定gem配置Buildkite作为可信发布者，之后就可以在Buildkite的CI流水线中直接使用rubygems命令行工具发布gem包。

对开发者的影响

这一改进将为Ruby开发者带来以下便利：

1. 简化CI/CD配置：不再需要管理复杂的API密钥
2. 提高安全性：基于短期有效的OIDC令牌，而非长期有效的API密钥
3. 审计能力增强：每次发布都有明确的来源记录

RubyGems.org团队表示欢迎更多CI/CD平台加入可信发布者计划，这表明平台正在积极推动发布流程的现代化和安全改进。随着Buildkite集成的完成，Ruby生态系统的供应链安全将得到进一步提升。