开发者安全发布规范

所有软件发布必须通过 GitHub Actions 自动化构建，确保构建过程透明可追溯。

概述

本规范指导开发者如何通过 GitHub 安全发布软件，主要包含：

• 项目提交流程 - 将项目纳入安全管理平台的完整流程
• GitHub Actions CI 设置 - 配置自动化构建流程
• Artifact Attestation - 为构建产物生成加密签名证明
• 完整 Workflow 示例 - 可直接使用的模板
• 发布流程 - 从代码到 Release 的完整步骤
• 安全扫描 - 由管理员在审核时统一配置

为什么需要这些规范？

随着 AI 编程工具的普及，公司内部出现大量安全性不明的软件传播问题。通过 GitHub Actions + Artifact Attestation：

1. 来源可追溯 - 每个构建产物都有对应的 CI 构建记录
2. 过程可验证 - 用户可以验证软件确实由官方 CI 构建
3. 防止篡改 - 加密签名确保文件未被修改

快速开始

如果你是新项目，建议按以下顺序操作：

1. 按照 项目提交流程 将项目加入 secure-artifacts 组织并提交审核
2. 复制 完整 Workflow 示例 到你的项目
3. 按照 发布流程 创建第一个 Release

如果你想深入了解各项配置，请继续阅读后续章节。