Tauri 生态系统安全
我们的 Tauri 组织生态系统托管在 GitHub 上,并提供多种功能,使我们的仓库更能抵御针对我们源代码和版本的攻击者。
为了降低风险并遵守普遍采用的最佳实践,我们采取了以下方法。
构建管道
发布我们源代码工件的过程在 GitHub 构建管道中使用 GitHub Actions 高度自动化,但仍然需要真人启动和审查。
签名提交
我们的核心仓库需要签名提交,以降低身份冒充的风险,并允许在检测到可能的入侵后识别归属的提交。
代码审查
所有合并到我们仓库的拉取请求 (PR) 都需要至少一位项目维护者的批准,在大多数情况下,这是工作组。代码通常在 PR 中进行审查,并运行默认的安全工作流程和检查,以确保代码符合通用标准。
发布流程
我们的工作组审查代码更改,使用作用域标记 PR,并确保一切保持最新。我们力求在发布次要版本和主要版本之前,内部审计所有安全相关的 PR。
当需要发布新版本时,其中一位维护者会在 dev 分支上标记新版本,这会
- 验证核心
- 运行测试
- 审计 crates 和 npm 的安全性
- 生成变更日志
- 创建工件
- 创建草稿发布
然后维护者审查发布说明,必要时进行编辑,并生成新版本。
© 2025 Tauri Contributors。CC-BY / MIT