Eartificí scaoilte agus fíorú

Liostaítear ar an leathanach seo déantáin scaoileadh Weblate agus bealaí dáilte cothabháilte agus mínítear conas na déantáin lena n-áirítear sínithe foilsithe, dearbhuithe, agus SBOManna a fhíorú. Le haghaidh leaganacha tacaithe agus clúdach nuashonruithe slándála, féach Eisiúintí agus leaganacha tacaithe. Le haghaidh monatóireacht spleáchais agus scanadh leochaileachta coimeádán, féach Spleáchais.

Fardal déantán scaoilte

Foilsítear eisiúintí Weblate agus bealaí dáilte a chothabháiltear trí roinnt bealaí. Liostaítear san fhardal seo na déantáin a thuairiscítear sa stór seo agus cá háit a gcoimeádtar a bhfianaise foilsitheoireachta. Maidir le déantáin a choimeádtar i stórtha siblíní atá faoi úinéireacht Weblate, luaitear sa tábla an stór ina bhfuil an uathoibriú tógála agus scaoilte.

Déantúsán nó cainéal

Úinéireacht stór nó suíomh

Sprioc foilsitheoireachta

Fianaise stórtha

Nótaí

Eisiúintí foinse agus sócmhainní eisiúna GitHub

WeblateOrg/weblate

Eisiúintí GitHub

.github/workflows/setup.yml, scripts/create-release, scripts/prepare-release, agus Gréasáin a scaoileadh

I measc na sócmhainní eisiúna tá cartlanna dáilte Python, nótaí eisiúna, agus an SBOM eisiúna.

Pacáiste Python

pyproject.toml, setup.py, agus MANIFEST.in

weblate

Déanann an sreabhadh oibre dáilte an pacáiste a thógáil, a bhailíochtú, a shíniú agus a fhoilsiú ag baint úsáide as foilsiú iontaofa PyPI.

Coinnítear meiteashonraí agus spleáchais an phacáiste sa stór seo.

Íomhánna Docker

Stórlann Docker Weblate

Docker Hub agus Pacáistí GitHub Clárlann Docker

Weblate Dockerfile, Sreabhadh oibre íomhá Weblate Docker, Sreabhadh oibre CI coimeádán Weblate Docker, Suiteáil ag baint úsáide as Docker, Gréasáin a scaoileadh, agus security.yaml

Tógálann an sreabhadh oibre íomhánna il-ailtireachta, ritheann sé tástálacha coimeádán, scanann sé le Anchore agus Trivy, agus foilsíonn sé chuig Pacáistí Docker Hub agus GitHub. Sínítear achoimrí íomhánna foilsithe le Cosign, agus foilsíonn an tógáil SBOM BuildKit agus dearbhuithe bunúis.

Cairt Kubernetes Helm

Stórlann Weblate Helm

Críochphointe stórtha Weblate Helm agus Mol Artifact

Cairt Weblate Helm, Sreabhadh oibre scaoilte Weblate Helm, Sreabhadh oibre tástála Weblate Helm, Sreabhadh oibre athbhreithnithe spleáchais Weblate Helm, agus Suiteáil ar Kubernetes

Úsáideann an sreabhadh oibre scaoilte cairteacha Helm chart-releaser ar athruithe faoi charts/**. Déanann tástáil chairteacha an chairt a línteáil agus a shuiteáil. Ní bhfuarthas fianaise ar shíniú cairteacha, ar bhunús cairteacha, ná ar SBOM cairteacha sna sreafaí oibre Helm a ndearnadh cigireacht orthu.

Cáipéisíocht

docs/, docs/conf.py, agus .readthedocs.yml

Doiciméadú Weblate

.github/workflows/docs.yml agus .readthedocs.yml

Níl socruithe tionscadail Léigh na Docs stóráilte sa stór seo.

Pacáiste agus eisiúintí Cliant Weblate

Stór Cliant Weblate

wlc agus eisiúintí GitHub Weblate Client

Sreabhadh oibre dáilte Cliant Weblate, meiteashonraí Cliant Weblate, agus Cliant Gréasáin

Tógálann agus bailíochtúíonn an sreabhadh oibre artifachtanna foinse agus rotha, foilsíonn sé chuig PyPI ag baint úsáide as foilsiú iontaofa, cruthaíonn sé eisiúintí GitHub do chlibeanna, ceanglaíonn sé comhaid SBOM pacáiste le heisiúintí GitHub, agus cruthaíonn sé dearbhuithe bunús pacáiste agus SBOM.

Íomhá Docker Cliant Weblate

Stór Cliant Weblate

Íomhá Docker Cliant Weblate agus Clárlann GHCR Cliant Weblate

Comhad Docála Cliant Weblate, Sreabhadh oibre Docála Cliant Weblate, agus Cliant Gréasáin

Tógálann an sreabhadh oibre íomhánna il-ailtireachta, déanann sé tástáil ar íomhá an chliaint líne ordaithe, scanann sé le Anchore agus Trivy, agus foilsíonn sé chuig Pacáistí Docker Hub agus GitHub. Sínítear achoimrí íomhánna foilsithe le Cosign, gintear SBOManna íomhánna CycloneDX le Syft, agus brúitear bunús íomhánna agus dearbhuithe SBOM chuig na clárlanna.

Is bonneagar forbartha agus tástála iad na comhaid Docker forbartha i dev-docker/ agus na sainmhínithe coimeádáin fuzzing i .clusterfuzzlite/, ní déantáin scaoileadh táirgeachta.

Is samplaí cumraíochta imscartha seachas déantáin scaoilte iad comhaid Docker Compose, lena n-áirítear an stór Weblate Docker Compose agus samplaí sáraithe áitiúla. De ghnáth, déanann oibreoirí iad a oiriúnú dá n-imscartha féin agus déanann siad Weblate a nuashonrú go príomha trí chlibeanna íomhá Docker a roghnú nó a tharraingt. Níl siad clúdaithe ag na sínithe scaoilte, SBOManna, ná ráitis bhunúis ar an leathanach seo.

Bille Ábhar Bogearraí

Foilsíonn Weblate Bille Ábhar Bogearraí (SBOM) ag baint úsáide as an bhformáid CycloneDX do leaganacha scaoilte. Tá an SBOM ar fáil mar chomhad leaganaithe weblate-<version>-sbom.cdx.json sna sócmhainní scaoilte GitHub agus tá sé ceangailte leis an mbunáit scaoilte freisin ag baint úsáide as dearbhuithe déantán GitHub. Is féidir é seo a úsáid chun na spleáchais a athbhreithniú le haghaidh saincheisteanna slándála nó comhlíonadh ceadúnais.

Taifeadann an SBOM eisiúna meiteashonraí ar leibhéal an doiciméid do na heilimintí íosta CISA 2025, lena n-áirítear údar an SBOM, léiritheoir na mbogearraí, uirlisí giniúna, stampa ama, comhthéacs giniúna, agus céannacht chomhpháirte eisiúna Weblate. Astaítear sonraí na comhpháirte spleáchais ag gineadóirí SBOM an éiceachórais a úsáidtear le linn an eisiúna. Dá bhrí sin, braitheann ceadúnas agus iomláine haise chomhpháirte Python ar thacaíocht easpórtála CycloneDX i uv.

Ag fíorú déantáin scaoilte

Foilsíonn sreabhadh oibre scaoileadh Weblate ábhar fíoraithe don dáileadh agus roth foinse Python Weblate i sócmhainní scaoileadh GitHub. Áirítear leis na sócmhainní scaoileadh cartlanna an phacáiste, beartáin shínithe Sigstore, nótaí scaoileadh, agus an SBOM scaoileadh. Uaslódáiltear na cartlanna pacáiste céanna chuig PyPI ag baint úsáide as foilsiú iontaofa, ach ní uaslódáiltear comhaid beartáin Sigstore chuig PyPI toisc go mbaintear comhaid nach nglacann PyPI leis an sreabhadh oibre scaoileadh roimh fhoilsiú.

Fíoraigh na comhaid a íoslódáladh ó shócmhainní eisiúna GitHub nuair is gá duit na sínithe foilsithe, na dearbhuithe, agus an SBOM. Is féidir comhaid phacáiste PyPI a chur i gcomparáid leis na sócmhainní eisiúna GitHub meaitseála de réir ainm comhaid agus achoimre.

Sínithe scaoilte

Déantar cartlanna pacáiste Weblate a shíniú go cripteagrafach ag baint úsáide as sínithe Sigstore. Tá na beartáin sínithe ceangailte leis an eisiúint GitHub in aice leis na comhaid .tar.gz agus .whl sínithe.

Is féidir an fíorú a dhéanamh ag baint úsáide as an bpacáiste sigstore. Fíoraíonn an sampla seo a leanas an roth ón eisiúint 5.4; coigeartaigh an leagan agus ainmneacha na gcomhad don eisiúint atá á seiceáil agat:

sigstore verify github \
   --cert-identity https://github.com/WeblateOrg/weblate/.github/workflows/setup.yml@refs/tags/weblate-5.4 \
   --bundle Weblate-5.4-py3-none-any.whl.sigstore \
   Weblate-5.4-py3-none-any.whl

Deimhnithe scaoilte

Cruthaíonn an sreabhadh oibre scaoilte dhá chineál fianaise artifachta GitHub do chartlanna an phacáiste:

  • Tóg dearbhuithe tionscnaimh arna nginiúint ag .github/workflows/setup.yml ag baint úsáide as actions/attest-build-provenance.

  • Deimhnithe SBOM arna nginiúint ag .github/workflows/setup.yml ag baint úsáide as actions/attest leis an leagan SBOM de chuid CycloneDX.

Is féidir na dearbhuithe a fhíorú ag baint úsáide as gh. Seiceálann an sampla seo a leanas dearbhú bhunús an tógála don roth 5.4:

gh attestation verify Weblate-5.4-py3-none-any.whl \
   --repo WeblateOrg/weblate \
   --source-ref refs/tags/weblate-5.4 \
   --signer-workflow WeblateOrg/weblate/.github/workflows/setup.yml

Bain úsáid as an gcineál réamhinsint CycloneDX chun an dearbhú SBOM atá ceangailte leis an déantán pacáiste céanna a fhíorú:

gh attestation verify Weblate-5.4-py3-none-any.whl \
   --repo WeblateOrg/weblate \
   --source-ref refs/tags/weblate-5.4 \
   --signer-workflow WeblateOrg/weblate/.github/workflows/setup.yml \
   --predicate-type https://cyclonedx.org/bom

SBOM agus suimeanna seiceála

Is comhad CycloneDX JSON darb ainm weblate-<version>-sbom.cdx.json é an SBOM scaoilte agus tá sé ceangailte le sócmhainní scaoilte GitHub. Tá an dearbhú SBOM ceangailte le cartlanna an phacáiste, ní leis an gcomhad SBOM mar shamhail scaoilte ar leithligh.

Ní fhoilsíonn Weblate maniféis suime seiceála ar leithligh faoi láthair amhail SHA256SUMS le haghaidh déantáin eisiúna.

Bealaí scaoilte eile

Ní shainaithníonn fardal na n-earraí scaoilte sínithe, SBOManna, ná dearbhuithe bunús le haghaidh cairteacha Helm faoi láthair. Baineann na treoracha fíoraithe sa chuid seo leis na hearraí scaoilte Weblate Python a fhoilsíonn an stór seo. Foilsítear meiteashonraí slabhra soláthair íomhá Docker agus Cliant Weblate ag a stórtha úinéireachta.