GitHub Actions OIDC无秘钥云角色部署实践
使用GitHub Actions OIDC联邦凭证到云角色实现无秘钥部署,提供可验证的IAM策略与工作流配置,提升安全与可追溯性。
实践
GitHub Actions可复用工作流与Monorepo CI实践
在 Monorepo 中使用可复用工作流与矩阵并行实现高效CI,结合缓存与Artifact、条件触发与环境保护,提供验证与监控方法。
GitHub Dependency Review门禁治理(严重级别-阻断-例外)最佳实践
基于依赖审查报告的严重级别设定门禁策略,阻断高风险变更并支持到期例外与审计记录。
GitHub Release资产签名与校验治理(Checksum-签名-时间窗)最佳实践
对 GitHub Release 资产执行 `SHA-256` 摘要与签名校验、时间窗口治理,保障下载制品的完整与可信。
Git子树外部代码引入治理(固定提交-审计)最佳实践
通过 Git 子树引入外部代码时固定提交与来源白名单治理,记录审计与变更对比,降低供应链风险。
Git子模块与外部仓库依赖治理(commit pin-只读-审计)最佳实践
通过子模块来源白名单与不可变提交引用,实施只读访问与审计,降低外部仓库依赖的安全风险。
Git提交签名与保护分支治理(GPG-校验-强制)最佳实践
强制提交签名与保护分支策略,校验签名类型、算法与时间窗口,配合审查与状态检查提升发布可信度。
Git标签签名与发布版本治理(annotated-tag-GPG-保护)最佳实践
采用具备注释的标签与GPG签名进行版本发布治理,校验签名与时间窗口,保护版本不被篡改。
Go Context 取消与超时实践
使用 Go 的 context 构建可取消与超时的请求链,覆盖 WithTimeout、WithCancel 与传递规范。
govulncheck审计与阻断治理(Go-评分-策略)最佳实践
使用 govulncheck 对 Go 依赖进行漏洞审计,按评分与策略门槛输出阻断与警告清单并记录审计。
