ossf/wg-securing-software-repos

# 保护软件仓库安全 OpenSSF 保护软件仓库工作组 ## 动机 该工作组面向并专注于软件仓库、软件注册中心以及依赖它们的工具的维护者，涵盖系统、语言、插件、扩展和容器系统等各个层面。它提供了一个分享经验以及讨论共同面临的问题、风险和威胁的论坛。 ## 目标 * 促进现有理念在各生态系统间更快地交流（包括技术措施、基础设施方法和策略） * 充当可能使多个生态系统受益的新理念的交换中心 * 使维护者能够在不同生态系统之间更好地协调政策和变更 * 识别并提升对共享工具和/或服务的基础设施和支持需求（由支持或赞助组织（如 [OpenSSF](https://www.openssf.org/)）填补） * 制定与软件仓库、软件注册中心及依赖它们的工具相关的数据共享方法 * 根据需要将特定问题和目标委托给子组或其他工作组 工作组可能会创建： * 关于通用模式的规范性、非约束性建议 * 经验和最佳实践的描述性文档 ### 非目标 * 工作组不是管理机构，不对成员产生约束性义务 * 工作组不强制指定技术、工具或解决方案，尽管成员可以自由地相互推荐 ## 已发布的工作 另请参阅 https://repos.openssf.org/ * **[制定软件包删除策略](https://repos.openssf.org/package-deletion-policies)** - 2025年4月 * **[适用于所有软件包仓库的受信任发布者](https://repos.openssf.org/trusted-publishers-for-all-package-repositories)** - 2024年7月 * **[软件包仓库安全原则](https://repos.openssf.org/principles-for-package-repository-security)** - 2024年2月 * **[Homebrew 的构建来源和代码签名](https://repos.openssf.org/proposals/build-provenance-and-code-signing-for-homebrew)** - 2023年7月 * **[适用于所有软件包注册中心的构建来源](https://repos.openssf.org/build-provenance-for-all-package-registries)** - 2023年7月 * **[包管理器生态调查](https://github.com/ossf/wg-securing-software-repos/blob/main/survey/2022/README.md)** - 2022年12月 ## 项目 | 名称 | 仓库/主页 | 备注 | 状态 | | --- | --- | --- | --- | | Repository Service for TUF | https://github.com/repository-service-tuf/repository-service-tuf | [会议纪要](https://docs.google.com/document/d/13a_AtFpPK9WO4PlAN6ciD-G1jiBU3gEDtRD1OUinUFY/edit) | 沙盒 | ## 治理 [CHARTER.md](https://github.com/ossf/wg-securing-software-repos/blob/main/CHARTER.md) 概述了我们小组活动的范围和治理方式，以及本仓库的维护者。 该小组由 [Dustin Ingram](https://github.com/di) 和 [Zach Steindler](https://github.com/steiza) 共同担任主席。 ## 沟通 * [会议纪要](https://docs.google.com/document/d/18Y8HxntL2RkcgqoFdhdLpj17e4MOSCdskP1IoDiuP1s/edit) * [邮件列表](https://lists.openssf.org/g/openssf-wg-securing-software-repos)。[管理您的 Open SSF 邮件列表订阅](https://lists.openssf.org/g/main/subgroups)。 * [OpenSSF Slack](https://slack.openssf.org/) 实例中的 [`#wg_securing_software_repos` 频道](https://openssf.slack.com/archives/C034CBLMQ9G)。 ## 会议时间 每隔一周的周三在 [Zoom](https://zoom-lfx.platform.linuxfoundation.org/meeting/98058137343?password=28dafc6e-cfcf-440d-bb63-ca73a1739f06) 举行，时间在 EMEA（13:00 UTC）和 APAC 友好时间（22:00 UTC）之间交替。 会议邀请可在公开的 [OSSF 日历](https://calendar.google.com/calendar?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ)上找到。 ## 会议记录 会议记录保存在 [Google 文档](https://docs.google.com/document/d/18Y8HxntL2RkcgqoFdhdLpj17e4MOSCdskP1IoDiuP1s/edit)中。如果参加，请添加您的姓名；如果是再次参会者，请将您姓名的颜色从灰色改为黑色。 ## 反垄断政策声明 Linux Foundation 会议涉及行业竞争者的参与，Linux Foundation 的意图是依照适用的反垄断和竞争法开展其所有活动。因此，参会者严格遵守会议议程，并意识到且不参与适用美国州、联邦或外国反垄断和竞争法所禁止的任何活动，这一点至关重要。 Linux Foundation 会议及与 Linux Foundation 活动相关的禁止行为示例，请参阅 Linux Foundation 反垄断政策，网址为 。如果您对此类事宜有疑问，请咨询您的公司法律顾问；如果您是 Linux Foundation 的成员，请随时联系 Gesmer Updegrove LLP 律师事务所的 Andrew Updegrove，该事务所为 Linux Foundation 提供法律咨询。 ## 知识产权 根据 [OpenSSF 章程 (PDF)](https://charter.openssf.org/)，本组产出的作品按以下方式许可： 1. **软件源代码**：Apache License, Version 2.0，网址为 https://www.apache.org/licenses/LICENSE-2.0； 2. **数据**：任何 Community Data License Agreements，网址为 https://www.cdla.io； 3. **规范**：Community Specification License, Version 1.0，网址为 https://github.com/CommunitySpecification/1.0； 4. **所有其他文档**：Creative Commons Attribution 4.0 International License，网址为 https://creativecommons.org/licenses/by/4.0/

标签：CSP, OpenSSF, Web截图, 依赖管理, 包删除策略, 包管理器, 可信发布者, 安全标准, 安全策略, 容器安全, 应用程序安全, 提示词设计, 最佳实践, 生态系统, 统一API, 软件仓库安全, 软件注册表