conda-forge 核心会议 2023-02-22

在 您的__new__()议程项目 标题下添加新的议程项目

上周会议 我的时区会议是什么时间 会议信息

• 要加入视频会议，请点击此链接：https://zoom.us/j/9138593505?pwd=SWh3dE1IK05LV01Qa0FJZ1ZpMzJLZz09
• 或者，要通过电话加入，请拨打 +1 347-384-8597 并输入此 PIN 码：828 997 153#
• 要查看更多电话号码，请点击此链接：https://tel.meet/ijv-qsvm-tvn?hs=5

与会者

姓名	首字母	GitHub ID	隶属关系
Matthew Becker	MRB	beckermr	cf
Cheng H. Lee	CHL	chenghlee	Anaconda/cf
Eric Dill	ED	ericdill	Anaconda/cf
Dave Clements	DPC	tnabtaf	Anaconda
John Kirkham	JK	jakirkham	NVIDIA/cf
Daniel Ching	DJC	carterbox	Argonne National Laboratory
Jaime Rodríguez-Guerra	JRG	jaimergp	Quansight/cf

共 10 人

常设项目

• 为通话中的新人介绍

• 公开投票

来自上次会议

正在进行的投票

您的 新() 议程项目

• (DPC) PyCon US 2023 社区展位

  • 提案 将于周五提交。
  • 如果您将参加并感兴趣，请注册。

• (MRB) 机器人更新

  • 随着 conda-forge 的增长，机器人变得越来越慢。
    • 我们应该使用事件，但目前还没有
  • 我开始进行更改，希望将延迟从数小时减少到约 15-20 分钟。
  • 因此，您将看到版本更新队列比平均时间更长。
  • 但是，机器人重新运行标签应该更灵敏。
  • 在对数据模型进行一些内部重构以支持更多并行性之前，实际的机器人不会更灵敏 (https://github.com/regro/cf-scripts/issues/1610)。
  • 转移到基于事件的步骤？
    • 解析 YAML 以获取进入机器人数据库的 JSON (用于基于事件的)
    • 还需要基于 PR 的事件驱动的元数据更新

• (MRB) 我从未完成的旧安全问题

  • 我清理了机器人，现在只有 1 或 2 个机器人具有组织的管理员访问权限。
  • staged-recipes 现在在 admin requests 仓库外运行，这意味着 staged-recipes 中没有密钥。
  • 我们几乎完全使用 1password
  • 针对每个 CI 服务密钥和密钥到期日期的 smithy 更改已完成或合并
    • 这些将使令牌轮换更快、更集中，并消除系统中的竞争条件

• scipy 演讲、冲刺等？

  • (CHL) 将在 conda/conda-forge sprint 开放时（大约四月份）提出
  • (DPC) 将为 pycon 2023 准备一个新的关于如何使用 conda-forge 打包的教程
  • (WV) 本来打算做一个演讲，但也可以帮助制作教程
  • (CHL) 马克杯？（或其他赠品）
  • (JK) 将提交关于 cuda 软件包更新的演讲
  • (ED) 2023 年 Conda（生态系统）状态演讲？

• (DJC) libpam CDT 还是常规软件包？

  • https://github.com/conda-forge/staged-recipes/pull/21955
  • https://github.com/conda-forge/cdt-builds/pull/55
  • CL：他们为此构建什么？用例：与现有的 PAM 配置对话。或 cdt，允许您重新配置系统密码策略。如果我们发布的软件允许绕过系统安全配置，那就不太好了。在所有可能性中，对于大多数 conda 安装来说，这都行不通。需要提升的权限才能加载东西。以 root 身份运行 conda 可能会利用此漏洞。
  • DJC：天真的看法是，这与发布其他低级安全库（如 openssh、openssl）相同。如果有人以用户权限运行，这不会升级他们破坏系统的能力。
  • CL：有没有办法让我们在批准配方之前获得配方构建内容的列表？
    • DJC：在 PR 的 2 周内下载工件。
      • 此处的工件
  • 如果用户不小心拉入此内容，则可能导致糟糕的用户体验
  • CL：链接到 selinux，因此可能无法在 ubuntu 上正常工作。无法在所有 linux 发行版上正常工作

• (JK) NSIS 稳定链接

  • https://github.com/conda-forge/nsis-feedstock/issues/23

• (DPC) 美国研究软件工程师 (US RSE) 会议

  • 2022 年末 conda 调查（即将发布）表明这些人是我们的受众。
  • 教程在会议前几周以虚拟形式进行
  • 是否有兴趣展示“在 conda-forge 中发布您的软件”教程
  • 更新后的教程将可用（来自我们的 PyCon US 演示文稿。）
  • 提案截止日期为 3 月 20 日

• (DPC) PyCon US 2023 Conda & Friends Sprint？

  • 正在考虑这样做。有什么理由不这样做吗？

• (JRG) Python Talk 播客 :)

  • https://www.youtube.com/watch?v=z50B6AmQwLw

推迟到下次会议

• (JK) CUDA 12 软件包

CFEPs

• cfep-12 删除违反源软件包条款的软件包
  • 自 2020 年 5 月 26 日起停滞
  • 关于移动到“损坏”与从 conda-forge 频道删除的 активные 讨论
  • 正在进行的投票，于 2020-03-11 结束
  • 投票结果如何？
  • 我们是否收到了 NumFOCUS 的回复？他们做了法律研讨会，并已录制