Bazel外部仓库与checksum治理(WORKSPACE-镜像-哈希)最佳实践
对 Bazel WORKSPACE 中的外部仓库执行镜像白名单与校验和治理,保障依赖下载的来源与完整性。
开源项目
FedCM 登录实战:隐私保护的第三方账号接入
介绍 FedCM 的架构与浏览器交互流程,替代第三方 Cookie 的登录接入方式,指导网站与身份提供方在隐私保护下实现账号联登。
Ant Design 6 亮点与升级路径
引言
- Ant Design 6 已进入稳定阶段,强调与 React 18+ 的支持与行为一致性;v5 停止功能更新,仅处理严重问题。
版本与兼容(已验证)
- React 支持:v6 支持版本从 React 18 起,移除更早版本兼容逻辑;建议使用 React 19 以获得最佳体验。来源:GitHub Issue 55805。
- 平滑升级:如果项目已运行在 v5,无需兼容包或 code
Harbor镜像签名与策略治理(签名-策略)最佳实践
使用 Harbor 的签名与策略校验镜像摘要与签名元数据,实施门禁与审计以保障镜像来源的可信与完整。
GitHub Release资产签名与校验治理(Checksum-签名-时间窗)最佳实践
对 GitHub Release 资产执行 `SHA-256` 摘要与签名校验、时间窗口治理,保障下载制品的完整与可信。
GitHub Dependency Review门禁治理(严重级别-阻断-例外)最佳实践
基于依赖审查报告的严重级别设定门禁策略,阻断高风险变更并支持到期例外与审计记录。
GitHub Actions OIDC身份联合到云:短期凭证与安全发布
在 CI/CD 中使用 OIDC 身份联合获取短期云凭证,替代长期密钥,提升发布安全与可审计性。
Kubernetes ServiceAccount令牌投射与安全治理
---
title: Kubernetes ServiceAccount令牌投射与安全治理
keywords:
- ServiceAccount
- 令牌投射
- Projected Token
- Audience
- TTL
description: 使用投射令牌与受众/TTL控制,在 Pod 内提供短期与特定受众的访问令牌,提升安全与最小权限。
categories:
- 文章资讯
...
GitHub Actions可复用工作流与Monorepo CI实践
在 Monorepo 中使用可复用工作流与矩阵并行实现高效CI,结合缓存与Artifact、条件触发与环境保护,提供验证与监控方法。
NVIDIA CUDA Toolkit 12.5 版本要点:兼容性与库更新
总结 CUDA 12.5 的发布要点,包括驱动兼容策略、安装定制与数学函数精度说明,以及库层更新与弃用提示。
Cargo crates供应链治理(Cargo.lock-Checksum-来源)最佳实践
校验 Cargo.lock 条目与来源白名单、校验和一致性,确保 Rust crates 依赖的完整性与可追溯。
GitHub Actions OIDC联邦云部署:临时凭证与权限最小化
通过 OIDC 联邦在云端签发短期凭证,替代长期密钥,构建最小权限与可审计的部署流程。
GitHub Actions OIDC 与 AWS ECR 无密钥推送实践
使用 OIDC 在 GitHub Actions 中无密钥获取 AWS 凭证,登录 ECR 并推送镜像,提升安全性与可维护性。
GitHub Actions动作版本治理(uses@sha-pin-权限)最佳实践
通过 `uses@<sha>` 固定动作版本与权限最小化策略,阻断漂移与投毒风险,并记录审计信息以提升流水线安全。
GitHub Actions复用Workflow与Composite Actions治理
通过复用工作流与组合动作提升流水线复用与维护性,规范版本、权限与输入输出治理。
