attested-delivery/.github

# `.github` — attested-delivery 组织配置 组织级别的社区健康默认设置、可重用的 attested 质量门禁工作流， 以及 **attested-delivery** 组织的集中式签名/验证工作流。 ## GitHub Actions 策略 组织 → 设置 (Settings) → Actions → 常规 (General)。该组织运行一种 **失败即关闭 (fail-closed)、锁定 SHA** 的 Actions 策略： - ☑ **允许 ，以及选择的非 的 actions 和可重用工作流** - ☑ 允许由 **GitHub** 创建的 actions（涵盖所有 `actions/*` 和 `github/*`） - ☑ 允许由 **Marketplace 认证创作者** 创建的 actions - ☑ **要求 actions 必须锁定到完整长度的 commit SHA** — 这是基础； 切勿禁用。此规则被传递性强制执行，并由 `pin-check` 作业对每个仓库进行独立复核。（这就是为什么工作流必须避免使用那些隐藏了基于 tag 锁定的嵌套 actions 的 composite actions，例如 `actions/upload-pages-artifact` → `actions/upload-artifact@v4`；应使用锁定 SHA 的 actions 将这些步骤内联打包。） 同组织 (`attested-delivery/*`) 和 GitHub 官方创建 (`actions/*`, `github/*`) 的 actions 始终被允许。其他所有内容均属于第三方发布者，必须将其添加到 **“允许指定的 actions 和可重用工作流”** 文本框中。 ### 允许的第三方 actions (已去重) `docker/*` 包含了各个单独的 `docker/...` actions，因此未单独列出。 ``` anchore/sbom-action@*,attested-delivery/*,codecov/codecov-action@*,crate-ci/typos@*,dependabot/fetch-metadata@*,docker/*,dtolnay/rust-toolchain@*,gitleaks/gitleaks-action@*,google/osv-scanner-action@*,peter-evans/dockerhub-description@*,rust-lang/crates-io-auth-action@*,softprops/action-gh-release@*,taiki-e/install-action@* ``` | 匹配模式 | 使用者 | | --- | --- | | `anchore/sbom-action@*` | SBOM 生成 (Syft) | | `attested-delivery/*` | 组织自有的 actions/可重用工作流 (始终允许；在此显式列出) | | `codecov/codecov-action@*` | 覆盖率上传 | | `crate-ci/typos@*` | 拼写检查 | | `dependabot/fetch-metadata@*` | dependabot 自动化 | | `docker/*` | buildx, login, metadata, setup-qemu, build-push, dockerhub-description (构建链) | | `dtolnay/rust-toolchain@*` | Rust 工具链安装 | | `gitleaks/gitleaks-action@*` | 密钥扫描 (需要 `GITLEAKS_LICENSE` 密钥) | | `google/osv-scanner-action@*` | SCA (OSV-Scanner action — 请内联运行，不要使用嵌套的可重用工作流) | | `peter-evans/dockerhub-description@*` | Docker Hub README 同步 | | `rust-lang/crates-io-auth-action@*` | crates.io Trusted Publishing | | `softprops/action-gh-release@*` | 创建 GitHub Release (rust-template) | | `taiki-e/install-action@*` | cargo 工具安装 (cargo-audit 等) | ### 被工作流引用但未在上述列表中 — 请在启用这些门禁之前添加 这些出现在组织的可重用/模板工作流中。在被添加之前，任何 调用到它们的工作流都会 **启动失败** ("workflow file issue")： | 匹配模式 | 门禁 / 工作流 | 备注 | | --- | --- | --- | | `aquasecurity/trivy-action@*` | `reusable-trivy` (IaC/许可证) | **发布关键** — rust-template 的 `release.yml` 会调用此门禁；如果没有它，发布将会失败。 | | `ossf/scorecard-action@*` | `reusable-scorecard` | 安全态势 | | `grafana/run-k6-action@*`, `grafana/setup-k6-action@*` | `reusable-k6` | 负载测试 | | `zaproxy/action-full-scan@*` | `reusable-zap` | DAST | | `sigstore/cosign-installer@*` | `sign-and-attest` | 容器签名 (SLSA L3) | | `aws-actions/amazon-ecr-login@*`, `aws-actions/configure-aws-credentials@*` | `pipeline` 部署 | ECR (仅在启用 `publish` 时) | | `anchore/scan-action@*` | 镜像扫描 | grype | 完整的超集 (涵盖所有组织工作流中的每一个第三方 action)： ``` anchore/sbom-action@*,anchore/scan-action@*,aquasecurity/trivy-action@*,aws-actions/amazon-ecr-login@*,aws-actions/configure-aws-credentials@*,codecov/codecov-action@*,crate-ci/typos@*,dependabot/fetch-metadata@*,docker/*,dtolnay/rust-toolchain@*,gitleaks/gitleaks-action@*,google/osv-scanner-action@*,grafana/run-k6-action@*,grafana/setup-k6-action@*,ossf/scorecard-action@*,peter-evans/dockerhub-description@*,rust-lang/crates-io-auth-action@*,sigstore/cosign-installer@*,softprops/action-gh-release@*,taiki-e/install-action@*,zaproxy/action-full-scan@* ```

标签：GitHub Actions, LLM防护, SBOM, 可视化界面, 硬件无关, 自动笔记, 请求拦截, 软件溯源