Astral分享开源安全实践:应对供应链攻击浪潮
Available in: 中文
知名开发者工具 Ruff、uv 和 ty 背后的公司Astral发布了详细的安全博客,分享了他们在面对开源生态系统供应链攻击浪潮时的CI/CD安全实践。
Astral分享开源安全实践:应对供应链攻击浪潮
知名开发者工具 Ruff、uv 和 ty 背后的公司Astral发布了详细的安全博客,分享了他们在面对开源生态系统供应链攻击浪潮时的CI/CD安全实践。
背景
近期Trivy、LiteLLM、Ultralytics、tj-actions 和 Nx 等高知名度项目被攻破,动摇了开发者对工具链安全的信心。Astral的工具被数百万开发者使用,安全态势至关重要。
核心安全措施
- 危险触发器禁用:Astral在整个GitHub组织中完全禁止使用和——这些触发器是大多数GitHub Actions被攻破的根源
- 保持贡献者工作流:尽管有安全限制,第三方贡献者仍可使用相同的CI流程验证PR
- 受控环境:关键开发和发布流程在CI/CD工作流中运行,而非本地机器
- 可观测性:所有工作流执行都在受控、可观测的环境中进行
为什么重要
GitHub Actions的安全默认设置很差,许多项目在不知情的情况下通过常用但危险的功能暴露了自身。Astral直接消除最危险选项的做法——而非尝试安全地使用它们——代表了一种务实的网络安全哲学。
来源: astral.sh — via Hacker News
← Previous: Fed Minutes Reveal Officials Worried Iran War Could Fuel Inflation and Rate HikesNext: China's Top Leadership Emphasizes Self-Reliance in Technology Innovation and Talent Development →
0