Tauri 생태계 보안
Tauri의 조직 “생태계”(활동 협력 체제)는 GitHub에서 호스팅되며, 소스 코드나 릴리스 버전을 대상으로 하는 외부의 적으로부터 리포지토리의 내성을 높이기 위한 몇 가지 기능을 갖추고 있습니다.
위험을 줄이고 일반적으로 채택되는 모범 사례(최우수 사례)를 따르기 위해 다음과 같은 방법을 도입했습니다.
소스 코드 결과물을 릴리스하는 프로세스는 GitHub 액션을 사용한 GitHub 빌드 파이프라인으로 고도로 자동화되어 있지만, 실제 사람에 의한 시작(작업 시작)과 검토(심사)를 의무화하고 있습니다.
Tauri의 핵심 리포지토리에서는 “스푸핑(위장)” 위험을 줄이고, 보안 침해 가능성을 탐지했을 때 그 원인으로 생각되는 커밋을 식별할 수 있도록 서명된 커밋이 필요합니다.
Tauri의 리포지토리에 병합되는 모든 “풀 리퀘스트(PR)“에는 해당 프로젝트(대부분의 경우 워킹 그룹이지만)의 최소 한 명의 유지 관리자로부터 승인이 필요합니다. 코드는 일반적으로 PR에서 검토되며, 기본 보안 워크플로와 검사가 실행되어 코드가 공통 표준을 준수하는지 확인합니다.
Tauri의 워킹 그룹은 코드 변경 내용을 검토하고, PR에 범위(적용 범위) 태그를 지정하고, 모든 것이 최신 상태로 유지되는지 확인합니다. 또한 마이너 릴리스와 메이저 릴리스를 공개하기 전에 보안과 관련된 모든 PR을 내부적으로 감사하도록 노력하고 있습니다.
새 버전을 공개할 시기가 되면, 유지 관리자 중 한 명이 새 릴리스에 “dev(개발 버전)” 태그를 지정하고 다음 절차가 실행됩니다:
- 코어 검증
- 평가 시험 실시
- 크레이트 및 npm 보안 감사
- 변경 로그 작성
- 결과물(아티팩트) 생성
- 초안 버전 작성
그런 다음 유지 관리자가 릴리스 노트를 확인하고 필요에 따라 편집한 후 새 릴리스가 완성됩니다.
© 2025 Tauri Contributors. CC-BY / MIT