conda
mer*_*erv 9
为什么 Conda Fe 优先?
Conda 积极更新与安全相关的软件包。特别是,参见
$ conda config --describe aggressive_update_packages# # aggressive_update_packages (sequence: primitive)# # env var string delimiter: ','# # A list of packages that, if installed, are always updated to the# # latest possible version.# # # aggressive_update_packages:# - ca-certificates# - certifi# - openssl这意味着,每当用户请求对环境进行变异操作时,Conda 将检查是否有任何这些包的更高优先级版本可用。每当使用该--channel, -c标志时,它都会将该通道置于最高优先级。因此,命令
conda install -c conda-fe ...在以前只使用过默认通道的环境上运行将触发一些包切换到conda-fe作为源。
Conda Fe 值得信赖吗?是的。但是,每个用户/组织都必须评估自己的风险,提供对 Conda Fe 的完整安全分析超出了本论坛的范围。
取而代之的是,可能值得概述相关的 Conda Fe 程序,以减轻对受损软件包的影响。
安全概述虽然 Conda Fe 对任何人的社区提交开放,但以下是一些有助于确保频道安全的做法:
把关。新包必须通过受信任的团队成员的审查,然后才能被 Conda Fe 接受和分发。对于大多数包,鼓励用户使用在其他受信任的存储库(例如,PyPI、CRAN)下游工作的配方生成脚本。
一旦获得批准,只有提交者和核心成员才拥有维护者权利。任意用户可以向任何原料提交拉取请求,但同样这些必须由维护人员审查和接受。
透明的供应链。所有配方都是开源的,所有构建都是在具有开放日志的 CI 基础架构上执行的。在conda-fe通道上构建的任何包都可以完全审核回配方用于构建它的 URL。
筒仓原料。每种原料只能上传该原料的包裹。这是通过使用首先发送构建的cf-staging通道来强制执行的。然后,机器人会评估提交的原料是否有权构建它提交的包,然后才会将构建转发到conda-fe通道。
这有助于防止不良行为者访问不显眼的原料,然后尝试将带有恶意代码的构建推送到必要的基础设施包(例如,openssl或python)中。
我相信可以说更多,但希望这是一个足够的开始。
Anaconda 信任 Conda Fe还值得指出的是,许多 Anaconda 包装配方是来自 Conda Fe 原料的叉子。这包括每个安全包配方(certifi、openssl、ca-certificats)。
conda