PyMC项目安全升级：全面迁移至PyPI可信发布机制

在开源项目的持续集成和发布流程中，确保发布凭证的安全性至关重要。PyMC项目团队近期完成了一项重要的安全升级，将项目的PyPI发布机制从传统的API令牌方式迁移到了更安全的"可信发布"（Trusted Publishing）模式。

背景与挑战

传统上，许多Python项目使用API令牌进行PyPI包发布。这种方式虽然简单，但存在潜在的安全风险：

1. 令牌可能意外泄露
2. 离职成员可能仍保留有效令牌
3. 需要手动轮换和管理令牌

PyMC项目在历史演进过程中累积了多个PyPI发布令牌，包括PYPI_TOKEN、PYPI_TOKEN_PYMC等，这些令牌分散在不同的发布流程中，增加了安全管理难度。

解决方案：可信发布机制

可信发布是PyPI推出的一项创新功能，它通过以下方式提升安全性：

• 直接集成GitHub Actions工作流
• 基于OIDC（OpenID Connect）标准
• 无需长期有效的API令牌
• 每次发布都生成临时凭证

PyMC团队在完成迁移后，识别出历史遗留的多个API令牌需要清理，包括：

1. 主项目的发布令牌
2. 夜间构建版本的发布令牌
3. 历史版本(pymc3)的发布令牌

实施过程

项目团队采取了系统化的清理措施：

1. 审计所有历史提交，定位令牌创建记录
2. 检查PyPI安全日志，确定令牌最后使用时间
3. 协调多位项目维护者共同验证
4. 在PyPI界面直接撤销相关令牌
5. 删除GitHub仓库中的相关密钥

最佳实践建议

基于此次经验，我们总结出以下开源项目管理建议：

1. 定期审计发布凭证
2. 及时采用平台提供的新安全功能
3. 建立凭证变更的文档记录
4. 多人协作验证关键安全变更
5. 在迁移新机制后，彻底清理旧凭证

PyMC项目的这次安全升级，不仅提升了自身的安全性，也为其他开源项目提供了有价值的参考案例。通过采用现代发布机制和严格执行安全规范，可以显著降低开源项目的供应链安全风险。