modeled-information-format/.github

# `.github` — modeled-information-format 组织配置 组织范围的社区健康默认设置、可重用的经验证质量门工作流， 以及 **modeled-information-format** 组织的集中式签名/验证工作流。 ## GitHub Actions 策略 组织 → 设置 (Settings) → Actions → 常规 (General)。该组织运行一种**失败即关闭 (fail-closed)、固定 SHA (SHA-pinned)** 的 Actions 姿态： - ☑ **允许 ，以及选择的非 actions 和可重用工作流** - ☑ 允许由 **GitHub** 创建的 actions（涵盖所有 `actions/*` 和 `github/*`） - ☑ 允许由 **Marketplace 验证的创建者** 提供的 actions - ☑ **要求 actions 固定到全长 commit SHA** —— 这是基础性的； 切勿禁用。这会被传递执行，并由 `pin-check` 作业在每个仓库中进行独立复核。（这就是为什么工作流必须避免使用隐藏了基于 tag 固定的嵌套 actions 的复合 actions 的原因，例如 `actions/upload-pages-artifact` → `actions/upload-artifact@v4`；将此类步骤内联打包并使用固定 SHA 的 actions。） 同组织（`modeled-information-format/*`）和 GitHub 创建（`actions/*`、`github/*`）的 actions 始终是被允许的。其他一切均为第三方发布者，必须将其添加到 **“允许指定的 actions 和可重用工作流”** 框中。 ### 允许的第三方 actions (已去重) `docker/*` 包含了各个单独的 `docker/...` actions，因此未单独列出。 ``` anchore/sbom-action@*,modeled-information-format/*,codecov/codecov-action@*,crate-ci/typos@*,dependabot/fetch-metadata@*,docker/*,dtolnay/rust-toolchain@*,gitleaks/gitleaks-action@*,google/osv-scanner-action/*,peter-evans/dockerhub-description@*,rust-lang/crates-io-auth-action@*,softprops/action-gh-release@*,taiki-e/install-action@* ``` | 匹配模式 | 使用者 | | --- | --- | | `anchore/sbom-action@*` | SBOM 生成 (Syft) | | `modeled-information-format/*` | 组织拥有的 actions/可重用工作流 (始终允许；此处为明确列出) | | `codecov/codecov-action@*` | 覆盖率上传 | | `crate-ci/typos@*` | 拼写检查 | | `dependabot/fetch-metadata@*` | dependabot 自动化 | | `docker/*` | buildx、login、metadata、setup-qemu、build-push、dockerhub-description (构建链) | | `dtolnay/rust-toolchain@*` | Rust 工具链安装 | | `gitleaks/gitleaks-action@*` | 密钥扫描 (需要 `GITLEAKS_LICENSE` 密钥) | | `google/osv-scanner-action/*` | SCA (`reusable-sca-osv` 会内联运行 `osv-scanner-action` + `osv-reporter-action` **子路径** actions；末尾的 `/*` 是必需的 —— `google/osv-scanner-action@*` 无法匹配子路径 actions，并且会导致任何调用者启动失败) | | `peter-evans/dockerhub-description@*` | Docker Hub README 同步 | | `rust-lang/crates-io-auth-action@*` | crates.io Trusted Publishing | | `softprops/action-gh-release@*` | 创建 GitHub Release (rust-template) | | `taiki-e/install-action@*` | cargo 工具安装 (cargo-audit 等) | ### 被工作流引用但未在上述列表中 —— 启用这些门之前请先添加 这些出现在组织的可重用/模板工作流中。在被添加之前，任何触达 它们的工作流都将**启动失败** (“workflow file issue”)： | 匹配模式 | 门 / 工作流 | 备注 | | --- | --- | --- | | `aquasecurity/trivy-action@*` | `reusable-trivy` (IaC/许可证) | **发布关键** —— rust-template 的 `release.yml` 会调用此门；缺少它会导致发布失败。 | | `ossf/scorecard-action@*` | `reusable-scorecard` | 姿态 | | `grafana/run-k6-action@*`, `grafana/setup-k6-action@*` | `reusable-k6` | 负载测试 | | `zaproxy/action-full-scan@*` | `reusable-zap` | DAST | | `redhat-plumbers-in-action/differential-shellcheck@*` | `reusable-shellcheck` | 钩子 SAST → SARIF (插件市场) | | `sigstore/cosign-installer@*` | `sign-and-attest`, `reusable-cosign-sign` | 容器签名 (SLSA L3) + 无密钥 blob/目录签名 | | `aws-actions/amazon-ecr-login@*`, `aws-actions/configure-aws-credentials@*` | `pipeline` 部署 | ECR (仅在启用 `publish` 时) | | `anchore/scan-action@*` | 镜像扫描 | grype | 完整超集 (涵盖所有组织工作流中的每一个第三方 action)： ``` anchore/sbom-action@*,anchore/scan-action@*,aquasecurity/trivy-action@*,aws-actions/amazon-ecr-login@*,aws-actions/configure-aws-credentials@*,codecov/codecov-action@*,crate-ci/typos@*,dependabot/fetch-metadata@*,docker/*,dtolnay/rust-toolchain@*,gitleaks/gitleaks-action@*,google/osv-scanner-action/*,grafana/run-k6-action@*,grafana/setup-k6-action@*,ossf/scorecard-action@*,peter-evans/dockerhub-description@*,rust-lang/crates-io-auth-action@*,sigstore/cosign-installer@*,softprops/action-gh-release@*,taiki-e/install-action@*,zaproxy/action-full-scan@* ```

标签：DevSecOps, GitHub Actions, LLM防护, 上游代理, 可视化界面, 后端开发, 组织配置, 自动笔记, 请求拦截