Python là một ngôn ngữ lập trình phổ biến, được sử dụng rộng rãi trong nhiều lĩnh vực. Việc tải và Cài đặt Python đúng cách là bước đầu tiên quan trọng để bắt đầu hành trình lập trình. Tuy nhiên, việc đảm bảo tính xác thực của tập tin cài đặt Python bạn tải xuống cũng không kém phần quan trọng để tránh các rủi ro bảo mật. Bài viết này hướng dẫn bạn cách xác minh tính xác thực của các tập tin cài đặt Python, giúp bạn yên tâm sử dụng phiên bản Python chính thống.
Xác minh bằng Sigstore
Từ các phiên bản Python 3.11.0, Python 3.10.7 và Python 3.9.14, các tập tin phát hành CPython được ký bằng Sigstore. Công nghệ này giúp đảm bảo tính toàn vẹn và nguồn gốc của tập tin. Bạn có thể tham khảo trang thông tin Sigstore của Python để biết thêm chi tiết về cách thức hoạt động: /downloads/metadata/sigstore/.
Xác minh bằng OpenPGP (cho phiên bản trước 3.14)
Các phiên bản Python trước 3.14 cũng được ký bằng khóa riêng OpenPGP của người quản lý phát hành tương ứng. Việc xác minh thông qua khóa công khai của người quản lý phát hành cũng khả thi. Chi tiết về quy trình xác minh này được trình bày tại trang OpenPGP Verification: /downloads/metadata/pgp/. Kể từ Python 3.14, việc xác minh bằng OpenPGP đã bị loại bỏ. Bạn có thể tìm hiểu lý do tại PEP 761.
Xác minh trên Windows
Trên hệ điều hành Windows, các trình cài đặt và tất cả các tệp nhị phân được tạo ra trong mỗi phiên bản Python được ký bằng chứng chỉ ký Authenticode được cấp cho Python Software Foundation. Bạn có thể xác minh điều này bằng cách xem thuộc tính của bất kỳ tệp thực thi nào, tìm đến tab Chữ ký số và xác nhận tên của người ký. Tên đầy đủ của chứng chỉ là CN = Python Software Foundation, O = Python Software Foundation, L = Beaverton, S = Oregon, C = US và kể từ ngày 14 tháng 10 năm 2024, cơ quan cấp chứng chỉ là Microsoft Identity Verification Root Certificate Authority. Các chứng chỉ trước đó được cấp bởi DigiCert. Lưu ý rằng một số tệp thực thi có thể không được ký, đặc biệt là lệnh pip mặc định. Những tệp này không được xây dựng như một phần của Python mà được bao gồm từ các thư viện của bên thứ ba. Các tệp dự định sẽ được sửa đổi trước khi sử dụng không thể được ký và do đó sẽ không có chữ ký.
Xác minh trên macOS
Các gói cài đặt cho Python trên macOS có thể tải xuống từ python.org được ký bằng chứng chỉ Apple Developer ID Installer. Kể từ Python 3.11.4 và 3.12.0b1 (2023-05-23), các gói cài đặt bản phát hành được ký bằng chứng chỉ được cấp cho Python Software Foundation (Apple Developer ID BMM5U3QVKW). Các gói cài đặt cho các bản phát hành trước đó được ký bằng chứng chỉ được cấp cho Ned Deily (DJ3H93M7VJ).
Tóm lại, việc xác minh tính xác thực của tập tin cài đặt Python là một bước quan trọng để đảm bảo an toàn và tránh các phiên bản giả mạo. Bằng cách làm theo các hướng dẫn trên, bạn có thể tự tin cài đặt và sử dụng Python một cách an toàn và hiệu quả. Hãy luôn tải Python từ nguồn chính thức (python.org) để đảm bảo tính xác thực và cập nhật phiên bản mới nhất.