🌗 因協助 lodash 貢獻安全改進而被封鎖的經驗
➤ 一次關於開源貢獻、安全機制與被封鎖經歷的深入剖析
✤ https://c.ruatta.com/on-being-blocked-from-contributing-to-lodash/
作者欲為極受歡迎的 JavaScript 套件 lodash 貢獻以提升其供應鏈安全，透過 GitHub Actions 實現套件發佈時加入「provenance」（來源證明）機制。然而，作者在嘗試提交 Pull Request 後，發現其 GitHub 帳號遭到 lodash 專案封鎖，無法創建 Issues 或進行 Watch 等操作。儘管作者試圖透過 GitHub Issue、Forked Repo 標記以及直接電子郵件聯繫專案維護者，均未獲回應。作者從這次挫折中學到，開源專案維護者並無義務接受貢獻，且在投入大量時間前，應先透過溝通了解專案的現況與維護者的意願，避免重複勞動。
+ 這篇文章分享了寶貴的經驗，特別是對於新手貢獻者。瞭解專案的「
#開源貢獻 #軟體安全 #npm #lodash #Github Actions #供應鏈安全

🌘 隆重介紹「堆高機認證執照」——來自 Aria 的咆哮
➤ 告別慣老闆的免費午餐：用「堆高機認證執照」捍衛你的創作價值
✤ https://aria.dog/barks/forklift-certified-license/
本文作者 Aria Salvatrice 針對現行「自由軟體」與「開源」授權模式的弊病提出質疑，認為其已淪為大型企業剝削的工具。為此，她自行研發了一套名為「堆高機認證執照」(Forklift Certified License) 的新授權模式。此執照旨在區分小型貢獻者與大型商業實體，允許前者自由使用、修改、分享，而後者若欲商業利用，則必須付費。作者透過舉例說明供應鏈攻擊的風險，並以硬體領域的 Mutable Instruments 為例，闡述開源專案在商業化過程中面臨的困境。她認為，許多小型的個人專案，不太可能發展成大型企業或形成活躍的開發者社羣，因此，應可透過非傳統授權模式來傳達政治訊息，甚至純粹作為一種「梗圖」式的表達。
+ 這作者的授權理念很有趣，把「大型公司付費、小個人免費」這個概念明確化了。感覺能解決不
#軟體授權 #開源 #供應鏈安全 #專案管理

🌘 一位 Ruby Central 董事會成員談 RubyGems 風波
➤ 從幕後到臺前：一位董事會成員對 RubyGems 風波的坦誠剖析
✤ https://apiguy.substack.com/p/a-board-members-perspective-of-the
本文是一位 Ruby Central 董事會成員，同時也是該組織財務主管的親身經歷與看法。作者解釋了 Ruby Central 在管理 RubyGems 與 Bundler 時面臨的挑戰，特別是關於開源專案的貢獻者權限管理與供應鏈安全問題。面對外界的誤解與憤怒，作者為造成社羣恐慌致歉，並澄清董事會的決策是出於維持專案營運資金與確保系統安全的考量，儘管溝通上可能有所不足，但其出發點是為了守護 Ruby 社羣的長期發展。
+ 感謝這位董事會成員的坦誠說明，讓我對 RubyGems 事件有了更深入的瞭解。原來背後有這麼多不得已的苦衷。
+ 雖然理解了決策的難處，但這次事件的溝通方式確實有待加強。希望未來能有更透明的流程。
#軟體開發 #開源社羣 #供應鏈安全

🌘 模型簽署 (Model Signing)
➤ 強化機器學習模型供應鏈安全的工具與技術
✤ https://pypi.org/project/model-signing/
「模型簽署」是一個旨在加強機器學習 (ML) 模型供應鏈安全的工具。它透過簽署模型來驗證其完整性和來源，讓使用者能夠確認模型的可靠性，避免遭受惡意攻擊。此專案支援 Sigstore 等技術，提供多種簽署方法，並整合透明度日誌，記錄簽署事件以供驗證。同時，也提供了 CLI 工具和 API，方便開發者在不同的 ML 環境中使用。
+ 機器學習模型的安全性越來越重要，這個工具的出現正合時機，能有效降低模型被篡改的風險。
+ 透過透明度日誌和多種簽署方式，這套工具的設計相當完善，對於重視模型安全性的開發者來說，是個非常有用的資源。
#軟體安全 #機器學習 #供應鏈安全

America Is Missing The New Labor Economy – Robotics Part 1 | Hacker News

Link

🌘 PyPI 現已支援數位鑒證 - Python Package Index 博客
➤ PyPI 透過數位鑒證增加對專案供應鏈安全的信任
✤ https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/
PyPI 現在支援數位鑒證，供應包維護者在發布時發布已簽署的數位鑒證，以進一步提高對其專案供應鏈安全的信任。已有許多專案開始發布鑒證，已發布超過 20,000 份鑒證。此舉使 PyPI 完成對 PEP 740 的支援，並延續之前對可信發布的支援，以及廢棄和移除 PGP 簽名。
+ 這項新功能對於提高 PyPI 平臺上專案的安全性非常重要，希望更多專案能夠積極運用數位鑒證功能。
+ 這種新的數位鑒證方式似乎可以有效解決以往 PGP 簽名存在的問題，對於確保專案的可信度有重要的貢獻。
#數位鑒證 #Python Package Index #供應鏈安全 #PEP 740

🌗 從供應鏈安全的角度看Python 3.12.0
➤ 從公共提交到SBOM：改進Python 3.12.0的供應鏈完整性
✤ https://sethmlarson.dev/security-developer-in-residence-weekly-report-13
Python 3.12.0已經發布，作者探討瞭如何改進Python發布過程的供應鏈完整性，提出了使用公共提交來構建源代碼包的建議，並使用GitHub Actions實現了這一工作流程。此外，作者還使用軟件材料清單（SBOM）比較了Python 3.12.0和3.11.6之間的子組件差異。
+ Python的安全問題一直是關注的焦點，這篇文章提供了一些有用的建議和工具，以改進Python發布過程的供應鏈完整性，這對於Python生態系統的安全至關重要。
+ 這篇文章很有價值，尤其是對於那些關注Python安全的人來說。作者提供了一些實用的技巧和工具，以幫助改進Python的供應鏈完整性。
#Python #供應鏈安全