conda-forge 核心会议 2025-01-22
在 您的 __new__() 议程项目 标题下添加新的议程项目
与会者
| 姓名 | 首字母 | GitHub ID | 隶属关系 |
|---|---|---|---|
| Wolf Vollprecht | WV | wolfv | prefix.dev |
| Klaus Zimmermann | KZ | zklaus | Quansight |
| Uwe Korn | UK | xhochy | QuantCo |
| Jaime Rodríguez-Guerra | JRG | jaimergp | Quansight |
| Matthew R. Becker | MRB | beckermr | cf |
| Marius van Niekerk | MvN | mariusvniekerk | cf |
共 6 人
常设项目
- [ ]
来自上次会议
- [ ]
正在进行的投票
- [ ]
您的 new() 议程项目
-
(JRG) 从 Azure Pipelines 迁移到 Github Actions 以使用 osx-arm64 和 linux-aarch64 运行器以及其他优点。
- Azure 似乎处于功能冻结状态(此工单于四月锁定,此工单未得到回复)或非常缓慢地推出新功能。自 GHA 开始支持此架构以来已超过一年,自它们普遍可用以来也已将近一年。
- Azure 路线图中确实有一条关于 osx-arm64 的说明,适用于 2025 年第二季度。“正在研究定价解决方案”。所以不是免费的?但没有提及 Linux ARM。
- Travis 不够可靠,无法为我们提供 linux-aarch64 运行器,而 Circle CI 在新仓库注册方面遇到问题。
- 如果可能,我建议将我们的 conda-forge 池从一个服务转移到另一个服务。该池必须与正常的 GHA 池分开,以避免 DoS 攻击我们自己的基础设施(rerender、lints 等严重依赖于每个 feedstock 上运行的 GHA 工作流程)。应该联系谁?
- 任何反馈?这是否可行或是一个糟糕的想法?潜在的障碍?
- 行动事项
- Jaime 在 Zulip 线程中起草电子邮件内容。提及潜在的增长,以及新运行器类型和证明、访问控制、更好的生态系统等的动机。
- Wolf 找到 Codespaces 联系人
- 是否有与 Steve / GH 支持部门有事先联系的人发送电子邮件?
-
(IF) ABI3 状态
- CEP 通过 https://github.com/conda/ceps/blob/main/cep-0020.md
- rattler-build 现在有一个实现。需要解决一些错误
- conda-build 实现:https://github.com/conda/conda-build/pull/5456 (CL) 可能会在下一个 conda-build 版本中发布 (JRG) 回答关于
defaults打包python-abi3软件包的问题,或调整文档
-
(WV) “默认”情况下 staged recipes 上的 recipe v1
-
(WV) NumFOCUS SDG 用于软件包证明,使用 sigstore
- WV:这是我用于在我们这边测试一些东西的测试仓库:https://github.com/wolfv/sigstore-test/actions/runs/12909555992
- WV:您可以在此处找到证明:https://github.com/wolfv/sigstore-test/attestations/4571450
- WV:您可以在 sigstore.dev 上搜索 sha 哈希值,以找到已签名的工件(一旦我们在 conda-forge 中实现了这一点,这将适用于已签名的软件包):https://search.sigstore.dev/?hash=7559cc269e98f41ca9e97ccbcfeadcecf177f2e2a744caf1f6e5b2604d8b5d43
- 关于如何确保维护者不会开始随机添加未进入 conda-forge 生产渠道的证明的问题。这些额外的证明会给原本官方的 GH 证明检查方式增加“噪音”,因此也许我们必须将“好的证明”复制到我们完全控制的服务/存储中。也有人认为证明本身会告诉您在何处构建了哪个软件包,因此只要用户注意,就不会有“噪音”。
- 这是重新审视 OCI 上传和权限以及此问题的良好时机,因为它们在范围上似乎相似。
推迟到下次会议
- [ ]
CFEPs
- [ ]