用户安全使用规范

本规范指导用户如何安全下载和验证软件，确保使用的软件来源可信。

概述

• 软件下载规范 - 从哪里下载软件
• 验证软件来源 - 如何确认软件是官方构建
• 识别可信软件 - 快速判断软件可信度
• 危险行为警示 - 必须避免的行为

核心原则

一句话总结

只从 GitHub Releases 下载，用 gh attestation verify 验证。

为什么需要验证？

随着 AI 编程工具的普及，公司内部出现大量来路不明的软件传播：

• 通过网盘分享的可执行文件
• 聊天群里传播的工具
• 无法追溯来源的脚本

这些软件可能：

• 被植入恶意代码
• 在传输过程中被篡改
• 不是官方版本

通过 GitHub Attestation 验证，可以确保：

1. ✅ 软件确实由官方 CI 构建
2. ✅ 文件内容未被篡改
3. ✅ 来源可追溯到具体的代码提交

快速开始

# 1. 从 GitHub Releases 下载软件
# https://github.com/{org}/{repo}/releases

# 2. 安装 GitHub CLI（如未安装）
brew install gh  # macOS

# 3. 验证软件
gh attestation verify ./downloaded-app --repo org/repo

如果验证成功，软件可以安全使用。如果验证失败，请勿使用该软件。