我们为 conda-forge 上具有编译扩展但具有纯 Python 参考实现的 Python 软件包引入了 noarch 变体，以便于新 Python 变体的早期采用者。

conda-forge 现在在 conda 上支持 Python 3.13。您可以通过运行命令来创建具有 Python 3.13 的新环境

conda create -n py313 python=3.13 -c conda-forge

2024 年 3 月 29 日 UTC 时间 18:07，核心团队获悉最近披露的 xz 后门，现在标记为 CVE-2024-3094。

据我们所知，conda-forge 的 xz 工件未受影响。

2023 年 6 月，来自 Anaconda 的软件工程师报告了 miniforge 和 mambaforge 安装程序 Windows 版本中包含的卸载程序中的一个安全问题，这是引导基于 conda-forge 的 conda 和 mamba 发行版的主要方式之一。

2023 年 1 月初，CircleCI 通知我们，他们发生了大型安全漏洞，第三方已获得对服务中存储的所有环境密钥的访问权限。对于 conda-forge，这些密钥是用于将构建的软件包上传到我们在 anaconda.org 上的暂存区域的 API 令牌，以及我们为每个 feedstock 生成的唯一令牌。feedstock 令牌用作我们工件暂存过程的一部分，以确保只有给定 feedstock 的维护者才能上传由该 feedstock 构建的软件包。 1 月下旬，CircleCI 通知我们，他们的安全漏洞始于 2022 年 12 月 19 日，大部分密钥在几天后以明文形式从他们的服务器中泄露出来。可以访问这些密钥的恶意第三方可能会在所谓的“供应链”攻击中上传 conda-forge 上任何软件包的受损版本。

这篇博客是关于我在 conda-forge 的 Outreachy 实习期间的工作。 在此之前，先简单介绍一下我自己 - 我是 Surbhi，conda-forge 的 Outreachy 实习生，参加了 2022 年 5 月至 8 月的 cohort，我的工作是记录 conda-forge 生态系统。

最近我们已经能够向 conda-forge 添加支持 GPU 的 TensorFlow 构建！ 这是一段相当长的旅程，多位贡献者尝试了不同的方法来说服 TensorFlow 的基于 Bazel 的构建系统来构建支持 CUDA 的软件包。 但我们成功了，并且拉取请求已合并。

2021 年 9 月 9 日，我们的一位核心开发人员发现，在 Travis CI 上构建的工件正从在 fork 存储库上运行的 PR 上传到我们的 conda 频道。 一项快速调查显示，Travis CI 正在将加密密钥传递给 fork 上的 PR 构建。 对我们的日志和工件的进一步检查表明，这种情况自 2021 年 9 月 3 日左右以来一直在发生。 Travis CI 随后证实了这个安全漏洞。 有关此事件的更多详细信息，请参阅此 CVE。 据我们所知，没有针对 conda-forge 的实际漏洞利用使用了此漏洞。

当向 conda-forge 贡献软件包时，Grayskull 可以让您的生活更轻松。 Grayskull 为 PyPI 上托管的 Python 软件包生成配方。

Conda-forge 正在参与即将到来的 Outreachy 轮次，即 2021 年 5 月至 2021 年 8 月。 该计划的目标是增加代表性不足的群体对自由和开源软件的参与。 Outreachy 由 软件自由保护组织组织。