Tauri生态系统安全

我们的Tauri组织生态系统托管在GitHub上，并提供了多项功能，以增强我们的代码库在面对针对源代码和发布的攻击时的韧性。

为了降低风险并遵循广泛采用的最佳实践，我们采取了以下措施。

发布源代码制品的过程在GitHub构建管道中高度自动化，使用GitHub Actions实现，但仍需要真实的人类启动和审查。

我们的核心仓库要求提交签名，以减少冒充风险，并在检测到可能的破坏后允许识别归属的提交。

所有合并到我们仓库的Pull Requests（PRs）都需要至少一位项目维护者的批准，在大多数情况下，这是工作组。代码通常在PR中进行审查，并运行默认的安全工作流程和检查，以确保代码符合通用标准。

我们的工作组审查代码变更，为PR打上范围标签，并确保一切保持最新。我们努力在发布次要和主要版本之前，内部审计所有与安全相关的PR。

当发布新版本的时机到来时，维护者会在dev上标记一个新版本，这包括：

然后，维护者审查发布说明，必要时进行编辑，一个新的发布就此锻造。