标签
Collider 1.3.0 为仓库索引添加了路径遍历保护,并在跨域重定向时移除 Bearer 令牌,以防止安全漏洞。
Cross Repo Review 是一个工具,用于映射仓库间的依赖关系,并在 PR 上展示下游影响、破坏性变更和影响范围,同时追踪代码、服务、数据和管道依赖。
Google Devs 呈现了一个 CI 流水线挑战:一次依赖变更让构建速度更快,却导致生产环境故障,引发了一个调试难题。
一篇博文,主张包管理器应支持全局钩子,作为当前包安全措施(如注册表或shell包装器)的更安全、更灵活的替代方案。
ty-pre-commit 是一个新工具,通过自动使用 uv 安装依赖项,简化了类型检查器的预提交钩子。
Bundler 4.0.13 引入了一项冷却功能,阻止解析发布不足 N 天的 gem,以缓解供应链攻击。该功能为可选加入,并可根据不同源、设置或命令行标志进行配置。
Ohbin是一款Python工具,作为uv的包装器,用于将GitHub发布版二进制文件直接安装到项目中,省去了手工制作包装包的需要。它通过pyproject.toml中的简单声明式配置,自动完成下载、SHA256验证、缓存和执行。
CRow 是一个新的 C/C++ 开源构建系统和依赖管理器,模仿了 Rust 的 Cargo 的简单性。
开发者分享将 Python 项目从 uv 迁移到 PDM 的经验,强调 PDM 纯 Python 代码库、刚发布的 2.26.8 版带来的“相对时间依赖冷却”功能,以及更强大的项目管理特性。
一份关于通过分层防御保护Python供应链的实用指南,包括使用Ruff进行代码检查、使用哈希锁定依赖项、使用pip-audit进行漏洞扫描、生成SBOM以及使用OIDC证明的可信发布。