塔乌里生态系统安全
我们塔乌里组织生态系统托管在 GitHub 上,为我们的仓库提供了一系列功能,以增强其对针对源代码和发布版本时的敌手攻击的抵御能力。
为了降低风险并遵守普遍采用的优秀实践,我们实施了以下方法。
构建管道
使用 GitHub actions 在 GitHub 构建管道中将发布源代码工件的过程高度自动化,但仍需真实人类的启动和审查。
签名提交
我们的核心仓库要求提交签名,以降低冒充风险,并在检测到可能的妥协后识别归因提交。
代码审查
所有合并到我们仓库中的 pull 请求 (PR) 都需要至少一个项目维护者的批准,在大多数情况下是工作组。代码通常在 PR 中进行审查,并且运行默认的安全工作流和检查以确保代码符合普遍标准。
发布流程
我们的工作组审查代码更改,用范围标记 PR,并确保一切保持最新。我们努力在发布小版本和大版本之前内部审计所有相关的安全 PR。
当发布新版本的时候,一位维护者在 dev 上标记一个新版本,它会
- 验证核心
- 运行测试
- 审计 crates 和 npm 中的安全性能
- 生成变更日志
- 创建工件
- 创建一个版草稿
然后维护者会审查发布说明,如果有必要进行编辑,并生成新的版本。
© 2025 塔乌里贡献者。CC-BY / MIT