conda-forge 核心会议 2025-02-19

在 Your __new__() agenda items 标题下添加新的议程项

• Zoom 链接
• 会议在我所在时区的时间
• 之前的会议

与会者

姓名	首字母	GitHub ID	隶属关系

共 X 人

常设议程

• [ ]

来自之前的会议

• [ ]

正在进行的投票

• [ ]

您的 新() 议程项

• (JRG): NumFOCUS 的行为准则工作组。
  • 选择加入还是不加入？
  • 如果是，请在“推荐”或“响应”之间选择。
  • 在 Zulip/core 的 “The new Code of Conduct working group in NF” 帖子中讨论
• (JRG) 不活跃核心成员转为荣誉退休成员的流程即将开始。
• (WV) 将缓存输出的 run-exports “attach” 模式应用于输出
• (WV) 为生态系统添加 sigstore 支持：predicate 字段中应该包含什么？
  • Github 添加默认内容，但我们也可以在自由格式字段中添加信息。
  • PyPI 没有添加任何内容，但目前我们可以添加 channel+label。
  • 与 Anaconda 安全团队保持联系。
  • MRB：如果人们移动频道会怎么样？这会使签名失效吗？
    • blob 本身不会改变。关键在于检查声明是否与源频道匹配。这样，您可以识别来自“原始”上传的副本。为了更加安全，频道还需要对其进行副署并“验证”初始声明。
  • MRB：如果我们 conda-forge 使用“我们的密钥”签署软件包，那么这是一个非常强烈的声明：“我们 conda-forge 生成了这个软件包”。
• IF：用于签署 conda-launchers 的证书？
  • 目前由 Anaconda 签名，阻止 win-arm64 部署
  • 我们可以使用 Azure 提供的 NumFOCUS 拥有的证书 ($10/月) 对其进行签名
  • 克隆 repo 到 conda-forge，在 CI 中构建二进制文件并重新打包。
  • Wolf 联系 NF。

推迟到下次会议

• [ ]

CFEPs

• [ ]