Koala OSS Club

Ruff、uv、ty 的开发者 Astral 团队发布了一篇详尽的博客，系统梳理了他们在开源供应链安全方面的实践。文章覆盖 CI/CD 安全、仓库管控、发布流程和依赖管理四大维度。关键措施包括：所有 GitHub Actions 必须钉到特定 commit hash 而非可变 tag，用 zizmor 检测未固定依赖和冒名 commit；工作流默认只读权限，发布使用 Trusted Publishing 消除长期凭据，搭配 Sigstore 签名建立制品到构建流程的可验证链路；依赖更新设置冷却期，避免在发布后立即更新时遭遇供应链攻击。 点评：Astral 提出的一系列实践是对近期几起恶性供应链攻击问题的回应，一方面向社区输出安全最佳实践，另一方面也体现了团队的专业性。