Tauri 生态系统安全
我们的 Tauri 组织生态系统托管在 GitHub 上,并提供多项功能,使我们的仓库更能抵御针对源代码和发布的攻击。
为了降低风险并遵循普遍采用的最佳实践,我们采取了以下方法。
我们源代码制品的发布过程在 GitHub 构建流水线中高度自动化,使用 GitHub Actions,但仍需要人工启动和审查。
我们的核心仓库需要签名提交,以降低冒充风险,并在检测到可能遭到入侵后允许识别已归属的提交。
所有合并到我们仓库的 Pull Request (PR) 都需要项目至少一位维护者的批准,在大多数情况下是工作组。代码通常在 PR 中进行审查,并运行默认安全工作流和检查以确保代码符合通用标准。
我们的工作组审查代码更改,标记具有范围的 PR,并确保所有内容保持最新。我们努力在发布次要和主要版本之前内部审计所有安全相关的 PR。
当需要发布新版本时,其中一位维护者会在 dev 上标记新版本,这包括:
- 验证核心
- 运行测试
- 审计 crates 和 npm 的安全性
- 生成变更日志
- 创建制品
- 创建草稿发布
然后维护者审查发布说明,必要时进行编辑,然后新的发布就会被创建。
© 2025 Tauri 贡献者。CC-BY / MIT