Trusted Publishing의 신뢰는 사람이 아닌 머신 신원 인증 관계임을 강조합니다.
기사에서는 Trusted Publishing이 의미하는 바를 명확하게 정리하고 있습니다. 여기서 '신뢰'는 사용자가 패키지를 믿는 것이 아니라, CI/CD와 같은 외부 머신 신원과 패키지 인덱스 간의 인증 관계를 지칭합니다. PyPI의 경우, 이는 OIDC 연합을 기반으로 하며, 장기 API 토큰 대신 짧고 범위가 좁은 방법을 채택하고 있습니다.
The trust in Trusted Publishing refers to machine identity verification, not user trust.
The article clarifies what Trusted Publishing means. Here, 'trust' does not imply that users can trust the package; instead, it refers to the authentication relationship between external machine identities like CI/CD and the package index. In the case of PyPI, this operates on OIDC federation and adopts a method involving short-lived, narrow-scoped tokens rather than long-term API tokens.