跳转到内容
塔乌里

塔乌里生态系统安全

我们塔乌里组织生态系统托管在 GitHub 上,为我们的仓库提供了一系列功能,以增强其对针对源代码和发布版本时的敌手攻击的抵御能力。

为了降低风险并遵守普遍采用的优秀实践,我们实施了以下方法。

构建管道

使用 GitHub actions 在 GitHub 构建管道中将发布源代码工件的过程高度自动化,但仍需真实人类的启动和审查。

签名提交

我们的核心仓库要求提交签名,以降低冒充风险,并在检测到可能的妥协后识别归因提交。

代码审查

所有合并到我们仓库中的 pull 请求 (PR) 都需要至少一个项目维护者的批准,在大多数情况下是工作组。代码通常在 PR 中进行审查,并且运行默认的安全工作流和检查以确保代码符合普遍标准。

发布流程

我们的工作组审查代码更改,用范围标记 PR,并确保一切保持最新。我们努力在发布小版本和大版本之前内部审计所有相关的安全 PR。

当发布新版本的时候,一位维护者在 dev 上标记一个新版本,它会

  • 验证核心
  • 运行测试
  • 审计 crates 和 npm 中的安全性能
  • 生成变更日志
  • 创建工件
  • 创建一个版草稿

然后维护者会审查发布说明,如果有必要进行编辑,并生成新的版本。


© 2025 塔乌里贡献者。CC-BY / MIT