Artefactos de lanzamiento y verificación

Esta página enumera los artefactos de lanzamiento de Weblate y los canales de distribución compatibles, y explica cómo verificar los artefactos que incluyen firmas publicadas, certificaciones y SBOM. Para conocer las versiones compatibles y la cobertura de las actualizaciones de seguridad, consulte Lanzamientos y versiones admitidas. Para la supervisión de dependencias y el análisis de vulnerabilidades de contenedores, consulte Dependencias.

Inventario de artefactos de lanzamiento

Las versiones de Weblate y sus canales de distribución se publican a través de diversos medios. Este inventario enumera los artefactos descritos en este repositorio y dónde se conserva su evidencia de publicación. Para los artefactos que se encuentran en repositorios hermanos propiedad de Weblate, la tabla indica el repositorio donde reside la automatización de la compilación y la publicación.

Artefacto o canal

Owning repository or location

Publishing target

Repository evidence

Notes

Versiones de código fuente y recursos de lanzamiento de GitHub

WeblateOrg/weblate

GitHub releases

.github/workflows/setup.yml, scripts/create-release, scripts/prepare-release y Lanzamiento de Weblate

Los recursos de la versión incluyen los archivos de distribución de Python, las notas de la versión y el SBOM de la versión.

Python package

pyproject.toml, setup.py, y MANIFEST.in

weblate

El flujo de trabajo de distribución compila, valida, firma y publica el paquete utilizando el sistema de publicación segura de PyPI.

Los metadatos y las dependencias del paquete se mantienen en este repositorio.

Docker images

Repositorio Weblate Docker

Docker Hub y registro de Paquetes Docker en GitHub

Weblate Dockerfile, Weblate Docker image workflow, Weblate Docker container CI workflow, Instalar con Docker, Lanzamiento de Weblate, and security.yaml

El flujo de trabajo crea imágenes de arquitectura múltiple, ejecuta pruebas de contenedores, realiza análisis con Anchore y Trivy, y publica en Docker Hub y GitHub Packages. Los resúmenes de las imágenes publicadas se firman con Cosign, y la compilación publica el SBOM de BuildKit y las certificaciones de procedencia.

Gráfico Helm de Kubernetes

Weblate Helm repository

Punto final del repositorio Helm de Weblate y Centro de artefactos

Weblate Helm chart, Weblate Helm release workflow, Weblate Helm test workflow, Weblate Helm dependency review workflow y Instalación en Kubernetes

El flujo de trabajo de lanzamiento de gráficos utiliza Helm chart-releaser en los cambios realizados en charts/**. Las pruebas de diagramas analizan e instalan el diagrama. No se encontraron firmas, procedencia ni evidencias de diagramas SBOM en los flujos de trabajo de Helm inspeccionados.

Documentación

docs/, docs/conf.py, y .readthedocs.yml

Weblate documentation

.github/workflows/docs.yml y .readthedocs.yml

Read the Docs project settings are not stored in this repository.

Weblate Client package and releases

Weblate Client repository

wlc y lanzamiento de Weblate Client GitHub

Weblate Client distribution workflow, Weblate Client metadata, y Cliente de Weblate

El flujo de trabajo compila y valida los artefactos de código fuente y de ruedas, los publica en PyPI mediante publicación segura, crea versiones de GitHub para las etiquetas, adjunta los archivos SBOM del paquete a los lanzamientos de GitHub y crea la procedencia del paquete y las certificaciones SBOM.

Weblate Client Docker image

Weblate Client repository

Weblate Client Docker image y Weblate Client GHCR registry

Weblate Client Dockerfile, Weblate Client Docker workflow, y Cliente de Weblate

El flujo de trabajo crea imágenes de arquitectura múltiple, prueba la imagen del cliente de línea de comandos, realiza análisis gráficos con Anchore y Trivy, y publica en Docker Hub y GitHub Packages. Los resúmenes de las imágenes publicadas se firman con Cosign, los SBOM de las imágenes de CycloneDX se generan con Syft, y la procedencia de la imagen y las certificaciones de SBOM se envían a los registros.

Los archivos Docker de desarrollo en dev-docker/ y las definiciones de contenedores de fuzzing en .clusterfuzzlite/ son infraestructura de desarrollo y pruebas, no artefactos de lanzamiento en producción.

Los archivos Docker Compose, incluidos el repositorio Weblate Docker Compose y los ejemplos de configuración local, son ejemplos de configuraciones de despliegue, no artefactos de lanzamiento. Los operadores suelen adaptarlos a sus propios despliegues y actualizan Weblate principalmente seleccionando o descargando etiquetas de imágenes Docker. No están cubiertos por las firmas de lanzamiento, los SBOM ni las declaraciones de procedencia que aparecen en esta página.

Cargo del Material de Software

Weblate sube un Cargo de Software de Material (SBOM) utilizando el formato CycloneDX para versiones de liberación. El SBOM está disponible como una archivo versionado en weblate-<version>-sbom.cdx.json en el GitHub release assets y también se adjunta a la procedencia de la versión mediante las certificaciones de artefactos de GitHub. Esto puede ser utilizado para revisar las dependencias para incidencias de seguridad o cumplimiento de licencias.

The release SBOM records document-level metadata for the CISA 2025 minimum elements, including the SBOM author, software producer, generation tools, timestamp, generation context, and Weblate release component identity. Dependency component details are emitted by the ecosystem SBOM generators used during the release. Python component license and hash completeness therefore depends on CycloneDX export support in uv.

Comprobar artefactos de versión

El flujo de trabajo de lanzamiento de Weblate publica el material de verificación para la distribución del código fuente de Weblate Python y el paquete wheel en GitHub release assets. Estos recursos incluyen los archivos del paquete, los paquetes de firmas de Sigstore, las notas de la versión y el SBOM de la versión. Los mismos archivos del paquete se suben a PyPI mediante publicación segura, pero los archivos del paquete de Sigstore no se suben a PyPI porque el flujo de trabajo elimina los archivos que PyPI no acepta antes de la publicación.

Verifique los archivos descargados de los recursos de lanzamiento de GitHub cuando necesite las firmas, las certificaciones y el SBOM publicados. Los archivos de paquetes de PyPI se pueden comparar con los recursos de lanzamiento de GitHub correspondientes mediante el nombre del archivo y el resumen.

Release signatures

Weblate package archives are cryptographically signed using Sigstore signatures. The signature bundles are attached to the GitHub release next to the signed .tar.gz and .whl files.

The verification can be performed using the sigstore package. The following example verifies the wheel from the 5.4 release; adjust the version and filenames for the release you are checking:

sigstore verify github \
   --cert-identity https://github.com/WeblateOrg/weblate/.github/workflows/setup.yml@refs/tags/weblate-5.4 \
   --bundle Weblate-5.4-py3-none-any.whl.sigstore \
   Weblate-5.4-py3-none-any.whl

Release attestations

El flujo de trabajo de lanzamiento crea dos tipos de certificaciones de artefactos de GitHub para los archivadores del paquete:

  • Construye las certificaciones de procedencia generadas por .github/workflows/setup.yml usando actions/attest-build-provenance.

  • Certificaciones SBOM generadas por .github/workflows/setup.yml usando actions/attest con el SBOM de la versión CycloneDX.

Las certificaciones se pueden verificar usando gh. El siguiente ejemplo comprueba la certificación de procedencia de compilación para el paquete wheel 5.4:

gh attestation verify Weblate-5.4-py3-none-any.whl \
   --repo WeblateOrg/weblate \
   --source-ref refs/tags/weblate-5.4 \
   --signer-workflow WeblateOrg/weblate/.github/workflows/setup.yml

Utilice el tipo de predicado CycloneDX para verificar la prestación SBOM adjunta al mismo artefacto del paquete:

gh attestation verify Weblate-5.4-py3-none-any.whl \
   --repo WeblateOrg/weblate \
   --source-ref refs/tags/weblate-5.4 \
   --signer-workflow WeblateOrg/weblate/.github/workflows/setup.yml \
   --predicate-type https://cyclonedx.org/bom

SBOM y sumas de verificación

El SBOM de la versión es un archivo JSON de CycloneDX llamado weblate-<versión>-sbom.cdx.json y se adjunta a los recursos de la versión de GitHub. La certificación del SBOM se adjunta a los archivadores del paquete, no al archivo SBOM como un artefacto de versión independiente.

Actualmente, Weblate no publica un manifiesto de suma de verificación separado, como SHA256SUMS, para los artefactos de lanzamiento.

Other release channels

El inventario de artefactos de lanzamiento no identifica actualmente firmas, SBOM ni certificaciones de procedencia para los gráficos de Helm. Las instrucciones de verificación de esta sección se aplican a los artefactos de lanzamiento de Weblate Python publicados por este repositorio. Los metadatos de la cadena de suministro de la imagen de Docker y del cliente Weblate son publicados por sus respectivos repositorios.