开发者安全发布规范

所有软件发布必须通过 GitHub Actions 自动化构建，确保构建过程透明可追溯。

概述

本规范指导开发者如何通过 GitHub 安全发布软件，主要包含：

• GitHub Actions CI 设置 - 配置自动化构建流程
• Artifact Attestation - 为构建产物生成加密签名证明
• 完整 Workflow 示例 - 可直接使用的模板
• 发布流程 - 从代码到 Release 的完整步骤

为什么需要这些规范？

随着 AI 编程工具的普及，公司内部出现大量安全性不明的软件传播问题。通过 GitHub Actions + Artifact Attestation：

1. 来源可追溯 - 每个构建产物都有对应的 CI 构建记录
2. 过程可验证 - 用户可以验证软件确实由官方 CI 构建
3. 防止篡改 - 加密签名确保文件未被修改

快速开始

如果你想快速上手，可以：

1. 复制 完整 Workflow 示例 到你的项目
2. 按照 发布流程 创建第一个 Release

如果你想深入了解各项配置，请继续阅读后续章节。