软件真是个有趣又深奥的东西，它由看似神奇的代码片段组成，这些代码运行在最终的终端上，本身却并非生命体，但拥有自己的生命周期。

软件最初是源代码的形式，仅仅是存放在某个仓库的文本文件，然后通过独特的构建过程，这些源代码会转变为其他形式。例如交付到 web 服务器的压缩 JavaScript 代码块、包含框架代码和业务逻辑的容器镜像，或者针对特定处理器架构编译的原始二进制文件。

这种最终的形态转变，也就是源代码生成的其他形式，通常被称为“软件制品”。在创建之后，制品通常会处于休眠状态，等待被使用。它们可能会被放置在软件包注册表（例如 npm、RubyGems、PyPI 等）或容器注册表（例如 GitHub Packages、Azure Container Registry、AWS ECR 等）中，也可能作为附加到 GitHub 版本发布的二进制文件，或者仅仅以 ZIP 文件的形式存储在某个 Blob 存储服务中。

最终，有人会决定拾取该制品并使用它。他们可能会解压缩包、执行代码、启动容器、安装驱动程序、更新固件 - 无论采用何种方式，构建完成的软件都将开始运行。

这标志着生产生命周期的顶峰，该周期可能需要大量人力投入、巨额资金，并且鉴于现代世界依赖软件运行，其重要性不言而喻。

然而，在许多情况下，我们并不能完全保证所运行的制品就是我们构建的制品。制品经历的旅程细节要么丢失，要么模糊不清，很难将制品与其来源的源代码和构建指令联系起来。

这种缺乏对制品生命周期的可见性是当今许多最严峻的安全挑战的根源。在整个软件开发生命周期 (SDLC) 中，有机会保护代码转换为制品的流程 - 如此一来，可以消除威胁行为者破坏最终软件并造成严重后果的风险。一些网络安全挑战似乎难以成功应对，但这种情况并非如此。让我们深入了解一些背景知识。

Read More

上次我在 代码签名（Code Signing）的文章中时候提到了 GaraSign，这是我在工作中使用到的另一个代码签名工具。

鉴于关于 GaraSign 的使用并没有多少中文资料，本篇我将介绍关于 GaraSign 的一些实线，希望对你有帮助。

Read More

Python 软件基金会 (PFS) 或许大家比较熟知，它是开源 Python 编程语言背后的组织，致力于为 Python 和 Python 社区的发展壮大创造条件。

继上次我们看完了 Apache 的基础设施介绍，本篇文章我们一起来看看 Python 软件基金会 (PFS) 的基础设施，看看可以从中学到哪些。

Read More

当谈到软件开发和安全性时，Code Signing（代码签名）是一个至关重要的概念。在这篇文章中，我们将探讨什么是代码签名，为什么它重要，以及两个代码签名工具的对比。

什么是代码签名？

代码签名是一种数字签名技术，用于验证软件或代码的真实性和完整性。它通过使用加密技术，为软件文件附加一个数字签名，证明该文件是由特定的开发者创建并未被篡改过。

代码签名的过程通常涉及以下步骤：

1. 生成数字证书：开发者使用数字证书来创建数字签名。证书通常由可信任的第三方证书颁发机构（CA）签发。
2. 对软件进行签名：开发者使用专门的工具，如 Microsoft 的 SignTool 或 Apple 的 codesign 工具，对软件进行数字签名。
3. 分发已签名的软件：带有数字签名的软件可以被分发到用户设备上。

Read More

今天翻译一篇我在 Jenkins Contributors 页面上看到的一篇文章。

其作者是 Hervé Le Meur，我早在关注 Jenkins-Infra 的项目的时候就关注到他，他是一个法国人。以下是关于他如何通过 Jenkins-X 社区最终进入到 Jenkins 基础设施团队成为 SRE 的经历。

说实话有点羡慕。希望这个分享能给每一个想加入开源、并且在开源组织中找到一份全职工作带来一点启发。

以下是我对原文的翻译：

---

Hervé Le Meur 是一名 SRE（网站可靠性工程师），目前是 Jenkins 基础设施团队的成员。他是通过 Jenkins X 进入开源社区的，随后转到 Jenkins 基础设施工作。

Hervé 的父亲是一名木匠，母亲是一名室内装潢师，他出身于一个模拟技术背景的家庭，但在六岁时就通过 Amstrad CPC 464 电脑第一次真正接触到了技术。

如今，在不从事 Jenkins 任务的时候，Hervé 喜欢和家人一起到户外散步、阅读和观看自己喜欢的节目。

Read More

相信大家最近都总会看到这样或那样的新闻：哪个科技巨头又裁员了。裁员潮似乎成为了这个时代的常态，让许多打工人感到焦虑和不安。

身在大连的我确实深有感触，外企和私企都有在裁员，与前两年相比，岗位越来越少，失业的人越来越多，因此想找到一个满意的岗位将会变得越来越难。

Read More

什么是 Reusable Workflows

如果你使用过 GitHub Actions，那么你一定要了解 Reusable Workflows 这个特性，它允许你定义工作流并在多个仓库中重复使用它们。

GitHub Actions 是 GitHub 自家的 CI/CD 工具。其他主流的 CI/CD 工具还有 Jenkins，Azure DevOps，Travis CI 等。

通过 GitHub Reusable Workflows 你可以将常见的工作流程定义在单独的 Git 仓库，然后在其他仓库中引用这些工作流，而无需在每个仓库中重复定义它们，这样做带来的好处包括：

• 一致性: 确保你的团队或组织在不同的仓库中使用相同的标准化工作流程，保持一致性。
• 维护性: 对工作流程进行更改或更新你只需在一个地方进行修改，而不必修改多个仓库中的代码。
• 重用性: 将通用的工作流程分离出来，在需要时可以在任何项目中重用，提高了代码的重用性和可维护性。

总的来说，GitHub Reusable Workflows 使得在 GitHub Actions 中管理和组织工作流程变得更加灵活和可维护。

Read More

最近看到一篇非常有信息量的关于人工智能、云原生、开源的趋势报告，出自于GitHub，翻译并分享给大家，以下是报告全文。

Read More

作为 cpp-linter 的创建者和贡献者，我很高兴地宣布 —— cpp-linter-action 从 v2.9.0 版本开始支持 Pull Request Review 功能了 👏

以下是 cpp-linter-action 的 release notes。

其中 Bump cpp-linter from 1.6.5 to 1.7.1 by @dependabot in #191 是其中最重要的变化。注：cpp-linter 包是​ cpp-linter-action 的核心依赖。

Read More

本篇介绍的是大名鼎鼎的开源软件基金会 Apache 所使用的服务(Services)和工具(Tools)，这或许能帮助你打开视野，在选择工具的时候提供参考。如果你是一名 DevOps、SRE 或是 Infra 工程师，通过本篇文章内容结果帮助你更好的展示团队所提供的服务有哪些，以及窥探到 Apache Infra 是怎样组织和管理他们的。

Apache 是谁

如果你不太了解 Apache，下面是关于 Apache 的简要介绍。

Apache 是一个开源软件基金会（Apache Software Foundation，简称 ASF）的缩写。ASF 是一个非营利性的组织，致力于支持和发展开源软件项目。Apache 软件基金会通过提供法律、财务和基础设施支持，帮助开发者共同合作创建和维护开源软件。其中，Apache 软件基金会最为著名的项目之一是 Apache HTTP 服务器，也称为 Apache Web 服务器。此外，ASF 还托管了许多其他流行的开源项目，像 ECharts，Superset，Dubbo，Spark，Kafka 等等。

服务与工具

Apache Infra 团队维护着供 PMC（项目管理委员会）、项目提交者和 Apache 董事会使用的各种工具。这些工具中的部分工具只提供给有特定职责或角色的人员使用。其他工具，如显示 Apache 基础设施各部分状态的监控工具，则向所有人开放。

• 为顶级项目（TLP）提供的服务
  • 网站
  • 电子邮件
  • ASF 自助服务平台
  • ASF 账户管理
  • 支持 LDAP 的服务
• 项目孵化服务
• ASF 项目工具
  • 版本控制
  • 问题跟踪和功能请求
  • 将版本库与 Jira 票据集成
  • 源码库发布者/订阅者服务
  • 构建服务
  • 产品命名
  • 代码签名
  • 代码质量
  • 代码分发
  • 虚拟服务器
  • 在线投票
• 其他工具
  • DNS
  • URL 短缩器
  • 共享片段
  • 机器列表
  • 奇思妙想

为顶级项目（TLP）提供的服务

网站

• www.apache.org 这是 Apache 的主要网站。
• Apache 项目网站检查器 会定期检查所有为顶级项目（TLP）提供的网站，并报告它们是否符合 Apache 的 TLP 网站政策。

这里只列出了几个挺有意思的连接，比如项目网址检查器，它会检查顶级项目是否有 License, Donate, Sponsors, Privacy 等正确的连接。

电子邮件

• 所有新建电子邮件列表的申请都应通过自助服务系统进行。
• 电子邮件服务器 - QMail/QSMTPD

Read More

时间过得很快，2023 年转瞬即逝。如果不记录下自己在这一年里发生的事情，过不了多久就很难回想起来这一年都发生过什么。

因此按照惯例还是要先回顾 2023 年，然后展望 2024 年。

Read More

如果你使用过 GitHub 发布过项目，你会知道 GitHub 可以自动生成 Release Notes。

就像这样 GitHub 自动生成的 Release Notes。

这个截图里的 Release Notes 内容很少，看起来还很清晰。但如果内容很多，以 Jenkinsci 组织下的 configuration-as-code-plugin 项目为例，可以看出来这里的 Release Notes 中的内容是按照标题进行分类的，假如这些内容混在一起将会非常糟糕的体验。(不要误以为这是手动进行分类的，程序员才不愿意干这种事😅)

本文将分享针对需要对 GitHub Release Notes 的内容按照标题进行自动分类的两种方式。

Read More

Sometimes you don’t want Jenkins pipeline failed for a specific error occurs. so you can use catchError to catch error and update stage or build result to SUCCESSFUL or UNSTABLE or FAILURE (if you want)

Read More

Why Software Supply Chain Security is important?

Software supply chain security is the act of securing the components, activities, and practices involved in creating software.

Attacks in the software supply chain have become more and more frequent in recent years, SonaType reported more than 700% of attacks in open-source software from 2019 to 2022.

In this Google Security Blog, there are many real examples of software supply chain attacks that pose growing threats to users and Google proposed a solution called SLSA in 2021.

Also, some well-known organizations such as Linux Foundation and CNCF have created standards and tools to address the issue of how to produce trusted software and attestations.

Based on this background, many organizations want to incorporate best practices from the open-source community into our CICD pipeline.

Read More

由于近些年针对软件的供应链的攻击越来越频繁，因此 Google 在 2021 提出的解决方案是软件工件供应链级别（Supply chain Levels for Software Artifacts，”SLSA”）

本篇将介绍在非 GitHub 生态系统中，我们如何生成和验证软件工件的来源，从而提高你的项目的 SLSA Level。

Witness 是一个可插拔的软件供应链风险管理框架，它能自动、规范和验证软件工件出处。它是 in-toto 是 CNCF 下的项目之一。它的最初作者是 Testifysec，后来捐赠给了 in-toto。

什么是 Witness

Witness 是一个可插拔的供应链安全框架，可创建整个软件开发生命周期（SDLC）的证据（Provenance）跟踪，确保软件从源代码到目标的完整性。它支持大多数主要的 CI 和基础架构提供商，是确保软件供应链安全的多功能、灵活的解决方案。

安全 PKI (Public Key Infrastructure - 公钥基础设施)分发系统的使用和验证 Witness 元数据的能力进一步增强了流程的安全性，并有助于减少许多软件供应链攻击向量。

Witness 的工作原理是封装在持续集成流程中执行的命令，为软件开发生命周期（SDLC）中的每个操作提供证据跟踪，这样就可以详细、可验证地记录软件是如何构建的、由谁构建以及使用了哪些工具。

这些证据可用于评估政策合规性，检测任何潜在的篡改或恶意活动，并确保只有授权用户或机器才能完成流程中的某一步骤。

总结 - Witness 可以做什么

• 验证软件由谁构建、如何构建以及使用了哪些工具
• 检测任何潜在的篡改或恶意活动
• 确保只有经授权的用户或机器才能完成流程的每一步
• 分发证词（Attestations）和策略（Policy）

如何使用 Witness

主要分三步：

1. witness run - 运行提供的命令并记录有关执行的证词。
2. witness sign - 使用提供的密钥签署提供的文件。
3. witness verify - 验证 witness 策略。

快速开始

这是我创建的 Witness Demo 仓库用于演示 witness 的工作流程，具体可以根据如下步骤进行。

Read More