Tauri エコシステム・セキュリティ
Tauri の組織「エコシステム」(活動協調体制)は GitHub 上でホストされており、ソースコードやリリース版を標的とする外敵に対してリポジトリの耐性を高めるためのいくつかの機能を備えています。
リスクを軽減し、一般的に採用されているベスト・プラクティス(最優良事例)に倣うために、以下の方法を導入しています。
ソースコード成果物をリリースするプロセスは、GitHub アクションを使用した GitHub ビルド・パイプラインで高度に自動化されていますが、生身の人間によるキックオフ(作業開始)とレビュー(審査)を義務付けています。
Tauri のコア・リポジトリでは、「なりすまし(偽装)」リスクを軽減し、セキュリティ侵害の可能性を検出時にその原因と考えられるコミットを識別できるようにするために、署名付きのコミットが必要です。
Tauri のリポジトリにマージされるすべての「プル・リクエスト(PR)」には、そのプロジェクト(ほとんどの場合、ワーキング・グループですが)の少なくとも一人のメンテナーからの承認が必要です。 コードは通常、PR でレビューされ、デフォルトのセキュリティ・ワークフローとチェックが実行されて、コードが共通の標準に準拠しているかどうかが確認されます。
Tauri のワーキング・グループは、コードの変更内容をレビューし、PR にスコープ(適用範囲)のタグを付け、すべてが最新の状態に保たれていることを確認します。 また、マイナーリリースとメジャーリリースを公開する前に、セキュリティに関連するすべての PR を内部で監査するよう努めています。
新しいバージョンを公開する時期には、メンテナーの一人が新しいリリースに「dev(開発版)」のタグを付け、以下の手順が実行されます:
- コアの検証
- 評価試験の実施
- クレートと npm のセキュリティ監査
- 変更ログの作成
- 成果物(アーティファクト)の生成
- ドラフト版の作成
その後、メンテナーがリリースノートを確認し、必要に応じて編集した後、新しいリリースが完成します。
【※ この日本語版は、「Feb 22, 2025 英語版」に基づいています】
© 2025 Tauri Contributors. CC-BY / MIT