stacknil/scientific-computing-toolkit

# 科学计算工具包 本仓库是科学计算基础设施、系统工具链以及供应链安全实验的作品集空间，这些项目倾向于确定性行为、可审计的输出以及清晰的发布证据。 ## 当前旗舰项目 [`tools/sbom-diff-and-risk`](tools/sbom-diff-and-risk/README.md) 是目前的旗舰工具。它比较 SBOM 和依赖清单，生成 JSON、Markdown 和 SARIF 审查工件，支持本地策略检查，并可选择记录 PyPI 来源和 OpenSSF Scorecard 证据。 如需快速了解审查信息，请先阅读 [`sbom-diff-and-risk` 审查简介](tools/sbom-diff-and-risk/docs/reviewer-brief.md)。 ## 本仓库存在的原因 面向科学和安全领域的工程通常需要小型、可检查的工具，使证据更容易被审查。本仓库汇集了以下重点突出的项目： - 确定性本地分析 - 机器可读的安全与审查输出 - 保守的策略检查 - 明确的来源与发布验证边界 - 将工具行为与分发证据区分开的文档 ## 项目导航 | 项目 | 状态 | 审查内容 | | --- | --- | --- | | [`sbom-diff-and-risk`](tools/sbom-diff-and-risk/README.md) | 已发布至 `v0.5.0` | 确定性 SBOM/依赖项差异比对，JSON/Markdown/SARIF 输出，本地策略检查，可选的来源与 Scorecard 证据。 | 常用入口： - [`sbom-diff-and-risk` README](tools/sbom-diff-and-risk/README.md) - [审查简介](tools/sbom-diff-and-risk/docs/reviewer-brief.md) - [审查证据包](tools/sbom-diff-and-risk/docs/reviewer-evidence-pack.md) - [v0.5.0 发布说明](tools/sbom-diff-and-risk/RELEASE_NOTES_v0.5.0.md) - [示例](tools/sbom-diff-and-risk/examples/) ## 验证与发布证据 `sbom-diff-and-risk` 拥有独立的验证面。它们相互关联，但所证明的内容并不相同。 | 证据 | 从何处开始 | | --- | --- | | 工具验证指南 | [`docs/verification.md`](tools/sbom-diff-and-risk/docs/verification.md) | | GitHub Release 资产验证 | [`docs/release-provenance.md`](tools/sbom-diff-and-risk/docs/release-provenance.md) | | TestPyPI Trusted Publishing 演练 | [`docs/pypi-trusted-publishing-readiness.md`](tools/sbom-diff-and-risk/docs/pypi-trusted-publishing-readiness.md) | | 生产环境 PyPI 决策门 | [`docs/pypi-production-publishing-decision.md`](tools/sbom-diff-and-risk/docs/pypi-production-publishing-decision.md) | TestPyPI Trusted Publishing 演练已完成验证。生产环境 PyPI 发布被有意推迟。 ## 本仓库明确不做出的声明 - 不声称 `sbom-diff-and-risk` 是一个漏洞扫描器。 - 不声称能够解决 CVE、公告、可利用性或包安全性判定。 - 不将可选的来源或 Scorecard 证据视为依赖项安全的证明。 - 不暗示生产环境 PyPI 发布已启用。 - 不将 GitHub Release 验证、GitHub 工作流工件证明和 PyPI Trusted Publishing 来源视为可互换的证据。 ## 审查者快速通道 1. 阅读 [`sbom-diff-and-risk` 审查简介](tools/sbom-diff-and-risk/docs/reviewer-brief.md)。 2. 浏览 [`sbom-diff-and-risk` README](tools/sbom-diff-and-risk/README.md) 以了解 CLI 范围和示例。 3. 查看 [v0.5.0 发布说明](tools/sbom-diff-and-risk/RELEASE_NOTES_v0.5.0.md)。 4. 使用 [验证指南](tools/sbom-diff-and-risk/docs/verification.md) 选择正确的来源检查。 5. 检查 [示例](tools/sbom-diff-and-risk/examples/) 以获取示例报告和策略文件。 ## 状态 - 当前旗舰版本：`sbom-diff-and-risk` `v0.5.0` - GitHub Release 资产：`v0.5.0` 已提供 - TestPyPI Trusted Publishing 演练：已完成 - 生产环境 PyPI 发布：有意推迟

标签：GPT, Markdown, OpenSSF Scorecard, PyPI, SARIF, SBOM, WebSocket, 依赖分析, 依赖差异比对, 可审计输出, 基础设施, 安全合规, 安全审查, 文档结构分析, 机器可读输出, 溯源, 漏洞管理, 硬件无关, 确定性分析, 科学计算, 策略检查, 系统工具, 网络代理, 网络信息收集, 跌倒检测, 软件物料清单, 逆向工具