安全策略

🌐 Security Policy

以下安全策略适用于 oxc-project 组织内的所有项目。

🌐 The following security policies are applied to all projects within the oxc-project organization.

如果你发现任何疏漏，请通知@boshen。

🌐 Please inform @boshen if you notice any oversights.

https://www.npmjs.com/~boshen 和 https://crates.io/users/Boshen 是唯一拥有我们软件包和 crates 发布权限的账户。

🌐 https://www.npmjs.com/~boshen and https://crates.io/users/Boshen are the only accounts with publish access to our packages and crates.

github.com

要求组织中所有人启用双因素认证
- 只允许安全的双重验证方法
已启用 GitHub 安全扫描，包括密钥扫描
GitHub Actions：要求所有操作都必须固定到完整的提交 SHA
启用版本不可变性——一旦发布版本，其资源和标签将无法修改
所需的签名提交：https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits
- 在仓库设置中未强制执行；否则外部贡献者将无法进行贡献
长期有效的令牌不会被存储用于发布 — 请参见下面的受信任发布，适用于 npmjs.com 和 crates.io
已启用 Renovate 机器人进行安全更新
使用 https://docs.zizmor.sh 对 GitHub Actions 进行常见安全问题的检查

强制登录使用双重验证
已使用 npm publish --provenance 发布：https://npm.nodejs.cn/generating-provenance-statements
通过受信任的发布者发布：https://npm.nodejs.cn/trusted-publishers
已安装插座安全装置
启用 Renovate Bot 的 "minimumReleaseAge": "3 days"，以避免更新过去 3 天内发布的包
使用 pnpm：https://pnpm.nodejs.cn/supply-chain-security
- 没有自动 postinstall 脚本