Tauri 生态系统安全
我们的 Tauri 组织生态系统托管于 GitHub 平台,并提供多项功能以增强仓库的抗攻击能力,使其更能抵御针对源代码和发布版本的恶意攻击。
为了降低风险并遵循业界普遍采用的最佳实践,我们已实施了以下措施。
我们源代码制品的发布流程在 GitHub 构建流水线(通过 GitHub Actions 实现)中实现了高度自动化,但仍强制要求由真实人员启动并进行审核。
我们的核心仓库要求使用签署提交,以降低冒充风险,并在检测到可能的入侵时,能够识别出具体的提交来源。
所有合并到我们仓库的拉取请求(PR)均需至少一位项目维护者批准,而维护者通常就是相应的工作组。 代码通常在拉取请求中进行审查,同时会运行默认的安全工作流和检查,以确保代码符合通用标准。
我们的工作组负责审查代码变更,为拉取请求打上范围标签,并确保所有内容保持最新。 我们力求在发布次要版本和主要版本之前,对所有与安全相关的拉取请求进行内部审计。
当到了发布新版本的时候,其中一位维护者会在 dev 分支上标记一个新的发布版本,该操作将会:
- 验证核心代码
- 运行测试
- 审计 crates 和 npm 的安全性
- 生成更新日志
- 创建制品
- 创建发布草稿
随后,维护者会审阅发布说明,如有必要进行编辑,然后正式生成新版本。
© 2026 Tauri Contributors. CC-BY / MIT