Forgejo 月度报告 - 2026年5月

# Forgejo 月度报告 - 2026年5月 来源：https://forgejo.org/2026-05-monthly-report/ 月度报告旨在提供过去一个月 Forgejo 变更的良好概览。此外，本报告也涵盖了上个月（2026 年 4 月）的内容。如果您想提供帮助，请通过聊天室 (https://matrix.to/#/#forgejo-chat:matrix.org) 联系我们，或参与正在进行的讨论 (https://codeberg.org/forgejo/discussions)。 ## 发布版本https://forgejo.org/2026-05-monthly-report/#releases ### Forgejo v15https://forgejo.org/2026-05-monthly-report/#forgejo-v15 Forgejo v15.0.0 (https://forgejo.org/2026-05-monthly-report/2026-04-release-v15-0) 于 4 月 16 日发布。作为长期支持版本，它将获得错误和安全修复支持，直至 2027 年 7 月 15 日 (https://forgejo.org/docs/latest/admin/release-schedule/)。 自 v15 初始发布以来，已完成了两个安全版本：v15.0.1 (https://codeberg.org/forgejo/forgejo/src/commit/b1b47e64d7c6e32659c19236ae3ddfa3dabf98e5/release-notes-published/15.0.1.md) 和 v15.0.2 (https://codeberg.org/forgejo/forgejo/src/commit/b1b47e64d7c6e32659c19236ae3ddfa3dabf98e5/release-notes-published/15.0.2.md)。下一个安全版本 v15.0.3 (https://codeberg.org/forgejo/security-announcements/issues/54) 计划于 6 月 10 日发布。 请在问题跟踪器 (https://codeberg.org/forgejo/forgejo/issues) 中报告您发现的任何回归问题。如果您遇到的问题与安全相关，请根据安全策略 (https://codeberg.org/forgejo/governance/src/branch/main/SECURITY-POLICY.md) 向安全团队 (https://forgejo.org/.well-known/security.txt) 报告。 ### 安全版本：Forgejo v11 和 v14https://forgejo.org/2026-05-monthly-report/#security-releases-forgejo-v11-and-v14 在 4 月和 5 月，针对之前的 v11 LTS 和最后稳定版本 v14 发布了三个安全版本。 - 4 月 10 日：Forgejo v11.0.12 和 v14.0.3 - 4 月 29 日：Forgejo v11.0.13 和 v14.0.4 - 5 月 12 日：Forgejo v11.0.14 Forgejo v14 的支持已于 4 月 30 日结束 (https://forgejo.org/docs/latest/admin/release-schedule/)，将不再提供未来版本。所有 v14 安装应立即升级到 v15。 Forgejo v11 的支持将于 7 月 16 日 (https://forgejo.org/docs/latest/admin/release-schedule/) 很快结束，此后将不再提供未来版本。所有 v11 安装应在支持结束前升级到 v15。 提醒一下，Forgejo 会提前发布安全版本的警告，类似于 Go 版本包含安全修复时的做法。它们不会透露漏洞细节，但允许管理员提前规划并更好地保护其实例。任何人都可以关注专用跟踪器 (https://codeberg.org/forgejo/security-announcements/) 或订阅 RSS 源 (https://codeberg.org/forgejo/security-announcements.rss)。 ### Forgejo Runnerhttps://forgejo.org/2026-05-monthly-report/#forgejo-runner 自上一份月度报告以来，Forgejo Runner 已发布了多个版本，目前为 v12.10.2 (https://code.forgejo.org/forgejo/runner/releases/tag/v12.10.2)。 随着 Forgejo 15 (https://forgejo.org/docs/v15.0/admin/actions/registration/) 中引入新的 runner 注册流程，所有支持旧流程（围绕 runner 注册令牌和 `.runner` 文件）的命令已被弃用（`register`、`create-runner-file`）。然而，对 `.runner` 的支持将在可预见的未来继续保持。如果您的新工具不能很好地支持您的用例，请告诉我们。 除了大量错误修复外，Forgejo 16 的首批功能也已落地：作业容器 (https://code.forgejo.org/forgejo/runner/pulls/1493) 和服务 (https://code.forgejo.org/forgejo/runner/pulls/1498) 的入口点自定义。 与每月一样，Forgejo Actions 的用户一直在积极提交功能请求 (https://code.forgejo.org/forgejo/forgejo-actions-feature-requests/)。其中一个备受关注和讨论的是可插拔后端架构 (https://code.forgejo.org/forgejo/forgejo-actions-feature-requests/issues/107)。其目标是实现第三方插件的开发，这些插件可以在替代后端（如虚拟机或 Kubernetes）中运行作业。已经有一个在 Kubernetes 中运行作业的工作原型 (https://codeberg.org/forgejo/discussions/issues/66#issuecomment-12615426)。 `forgejo-runner one-job` 现在能够向 Forgejo 请求特定的作业，从而允许在托管的 runner 扩缩配置中精确执行目标作业（PR 1443 (https://code.forgejo.org/forgejo/runner/pulls/1443) 需要 Forgejo 15）。 合并了一个修复，以防止在某些错误条件下作业遗留容器（PR 1523 (https://code.forgejo.org/forgejo/runner/pulls/1523)）。 ### Forgejo Helm Chart v17https://forgejo.org/2026-05-monthly-report/#forgejo-helm-chart-v17 随着 Forgejo v15 的发布，Forgejo Helm Chart 迎来了一个新的主版本 (https://code.forgejo.org/forgejo-helm/forgejo-helm/releases/tag/v17.0.0)，以更新默认的 Forgejo 版本。随后发布了相应的 v15 补丁版本的一个补丁和一个次要版本：v17.0.1 (https://code.forgejo.org/forgejo-helm/forgejo-helm/releases/tag/v17.0.1) 和 v17.1.0 (https://code.forgejo.org/forgejo-helm/forgejo-helm/releases/tag/v17.1.0)。次要版本带来了 `values.schema.json` 文件，以便于值验证。 ## 安全公告https://forgejo.org/2026-05-monthly-report/#security-announcements ### "胡萝卜披露"https://forgejo.org/2026-05-monthly-report/#carrot-disclosure Forgejo 成为一篇题为 "Carrot disclosure: Forgejo" 的博文的主题（于 4 月 28 日发布），该文对 Forgejo 的安全态势发表了评论，并声称 Forgejo 存在一个或多个远程代码执行 (RCE) 安全漏洞，但作者选择不向 Forgejo 披露。 Forgejo 的安全团队最初选择不对这篇博文做出公开回应。我们在内部讨论了这一情况，并决定不采取任何行动——我们无法执行博文中要求的 "对其软件进行整体审计，尽可能多地修复问题，以期修复所展示的漏洞" 的工作。作为一个志愿者团队，这超出了我们的能力范围。我们计划处理已打开的拉取请求，并继续依赖负责任的安全研究人员根据安全政策披露漏洞。 博文作者于 4 月 30 日决定改变立场，并向我们披露了他们的概念验证漏洞脚本。我们赞赏他们转向负责任披露的做法。 一般来说，我们在安全团队内部合作，私下创建补丁，因为我们认为公开披露 Forgejo 的缺陷会在该缺陷可利用、公开且未修补的情况下给 Forgejo 用户带来巨大风险。例如，在同一时间段内，我们发布了 Forgejo 15.0.1、14.0.5 和 11.0.13，其中包含一个授权绕过修复，该漏洞允许任何经过身份验证的用户写入他们不拥有的公共仓库。公开开发此修复会使更多人在更长时间内意识到该问题，因此我们私下开发并与发布团队协调，立即发布了新版本。 我们完成了对博文作者提供的漏洞脚本的审查，并确定所有提出的问题都可以公开处理，因为对这些问题的了解不会对 Forgejo 安装构成重大风险。将任何报告的漏洞描述为 RCE 都是不准确的，因为其中最严重的漏洞需要访问内部服务器或管理员凭证，并且没有向我们证明任何漏洞可以远程突破这些凭证。 因此，所有问题都已提交公开问题，以便进行设计讨论、变通方法和贡献者开发者支持，从而帮助解决这些问题： - 问题：内部通信需要共享密钥 (https://codeberg.org/forgejo/forgejo/issues/12387) - 问题：没有维持 Forgejo 可用性的流量管理 (https://codeberg.org/forgejo/forgejo/issues/12388) - (已有) 功能：为仓库存档添加配额 (https://codeberg.org/forgejo/forgejo/issues/7011) - 问题：来自 Slowloris 式 HTTP 攻击的拒绝服务风险 (https://codeberg.org/forgejo/forgejo/issues/12377) - 问题：渲染无限大小的用户 Markdown 时的服务器端资源使用 (https://codeberg.org/forgejo/forgejo/issues/12378) - 问题：加密数据库值的密钥轮换 (https://codeberg.org/forgejo/forgejo/issues/12389) - 问题：Git 进程的资源限制 (https://codeberg.org/forgejo/forgejo/issues/12390) - (已有) 功能：允许撤销会话 (https://codeberg.org/forgejo/forgejo/issues/796) - 问题：暴露了 Forgejo 服务器版本 (https://codeberg.org/forgejo/forgejo/issues/12379) - 功能：允许更严格的内容安全策略 (https://codeberg.org/forgejo/forgejo/issues/9854) - 问题：OAuth JWT 签名密钥被用于非 OAuth 用途 (https://codeberg.org/forgejo/forgejo/issues/12380) - 问题：不要渲染大型比较差异 (https://codeberg.org/forgejo/forgejo/issues/12391) 此外，博文中提及的拉取请求已经过审查，并已合并、关闭或返回给作者要求更改。 博文作者还指出 Forgejo 当前的安全政策难以阅读。我们同意。一位社区成员已经开始了关于更新政策的讨论 (https://codeberg.org/forgejo/discussions/issues/462)，我们支持简化并清理此政策。 ### 私有包注册表https://forgejo.org/2026-05-monthly-report/#private-package-registries 2026 年 5 月 27 日发布了一项公开安全披露，指出 Gitea 及其他衍生软件受到追踪为 CVE-2026-27771 的安全漏洞的影响，该漏洞涉嫌将私有包暴露给未经身份验证的用户。Forgejo 的安全团队在此案中不同意该描述和报告。 当包上传到 Forgejo 时，它们会上传到拥有这些包的用户或组织。它们对其他用户的可见性直接与其所有者的可见性相关——公共所有者意味着公共包，私有所有者意味着私有包。当包因所有者隐私而私有时，我们不知道有任何漏洞允许访问包内容。 这种所有者可见性与包可见性的绑定不如 Forgejo 用户所期望的那样灵活。而且，这可能会让用户感到惊讶，因为他们可能会认为当包与仓库关联时，包可见性应该遵循仓库可见性。然而，这些是期望的功能增强，而不是安全漏洞。从未有文档记载或表明包可见性与仓库可见性相关，而且包上传到 Forgejo 时与仓库无关这一事实已经强烈地向用户表明不存在此类安全控制。 为了减少混淆导致安全事件的风险，Forgejo 正在私有仓库 (https://codeberg.org/forgejo/forgejo/pulls/12627) 上添加警告，当仓库所有者具有非私有可见性时，这些仓库使用包。这将出现在我们的下一个 v15 Forgejo 版本中。关于未来包可见性 (https://codeberg.org/forgejo/forgejo/issues/3577) 改进的讨论和设计工作正在进行中，欢迎社区反馈和贡献。 ## 文档：OpenSSH 建议https://forgejo.org/2026-05-monthly-report/#documentation-openssh-recommendations Forgejo 管理指南中发布了新的建议，以改进用于访问 Forgejo 的 OpenSSH 服务器的配置。这些建议来自 Codeberg 团队在大规模优化和改进 SSH 访问方面的经验：OpenSSH 建议 (https://forgejo.org/docs/latest/admin/setup/recommendations/#openssh-recommendations) ## Forgejo v16 开发https://forgejo.org/2026-05-monthly-report/#forgejo-v16-development ### 新的 Forgejo Actions APIhttps://forgejo.org/2026-05-monthly-report/#new-forgejo-actions-apis 一个新的 Forgejo Actions 工件 HTTP API (https://codeberg.org/forgejo/forgejo/pulls/12140) 已合并到 Forgejo v16。还添加了用于访问工作流运行和单个作业日志的端点 (https://codeberg.org/forgejo/forgejo/pulls/12666)。如果一切按计划进行，它将被包含在 Forgejo v16 中。 我们正在寻求反馈。一旦发布，更改 API 非常困难。要么自己构建 Forgejo，要么在 https://v16.next.forgejo.org/ 上尝试。如果遇到问题或有功能请求，请打开一个新问题。 **重要**：此 HTTP API 与 GitHub 的 `actions/download-artifact` 不完全兼容，并且没有计划使其完全兼容。匹配 GitHub 的 REST API 不仅仅需要以正确的格式发送一些 JSON。Forgejo 已经不得不修补 v4 以使其工作。我们正在权衡如何继续。 Forgejo v16 实现了一项名为“授权集成”的功能，以接受远程生成的 JWT 令牌进行身份验证。授权集成允许基于由外部系统生成和签名的 JSON Web 令牌 (JWT) 对 Forgejo 的 API 请求进行身份验证。兼容系统的示例包括：Forgejo Actions（在同一或不同 Forgejo 实例上）、GitHub Actions、GitLab CI/CD 和 Amazon Web Services。 Forgejo v15 增加了 Actions 作为具有 JWT 使能的联合身份的客户端运行的能力，而授权集成现在允许 Forgejo 在此工作流中充当资源服务器。 此功能填补了 Forgejo Actions 中的一个主要功能空白。长期以来，关于 `${{ forgejo.token }}` 身份验证令牌具有可配置权限 (https://codeberg.org/forgejo/forgejo/issues/3571) 的请求现已由此功能实现覆盖，同时还在 Forgejo 安装网络中启用跨服务器权限。 授权集成文档 (https://forgejo.org/docs/next/user/authorized-integrations/) 提供了更多信息。 ### 联邦化https://forgejo.org/2026-05-monthly-report/#federation 联邦化正在积极开发中，仍被视为实验性功能。*启用它可能会使 Forgejo 运行的域名在未来永远无法与其他软件进行联邦化。*请参阅常见问题解答 (https://forgejo.org/faq/#what-about-forge-federation) 以获取更多信息。 从联邦用户活动关注 (https://codeberg.org/forgejo/forgejo/pulls/4767) 中提取的最后一个拉取请求 (https://codeberg.org/forgejo/forgejo/pulls/10380) 已合并，该拉取请求引入了关注其他 ActivityPub 用户的能力，并引入了用于来自其他实例的联邦笔记（目前仅限 Forgejo、Mastodon 和 GoToSocial）的 ActivityPub 订阅源。对软件联邦化的限制是暂时的，将在未来版本中移除。 ## Forgejo 在现实世界中的使用https://forgejo.org/2026-05-monthly-report/#forgejo-usage-in-the-wild - 荷兰政府已软启动 code.overheid.nl (https://code.overheid.nl/)，这是一个基于 Forgejo 的新平台，用于荷兰政府软件开发。更多信息（荷兰语） (https://developer.overheid.nl/blog/2026/04/24/we-gaan-samen-code-overheid-bouwen)。 - Jeroen Baten 举办了一场演讲，使用 Forgejo Act