注意
不可变版本目前为 公共预览版,可能会发生更改。
不可变版本是指发布后资产和关联 Git 标签无法更改的版本****。 它们通过阻止以下内容来提高安全性:
- 供应链攻击,其中攻击者将漏洞或恶意软件注入到当前项目版本
- 意外更改可能会破坏开发人员工作流的资产和标签
此外,创建不可变版本会自动生成发布证明,该证明是包含发布标签、提交 SHA 和发布资产的加密可验证发布记录****。 使用者可以使用此证明来确保其使用的版本和工件与已发布的 GitHub 版本完全匹配。
对于不可变版本,版本页的标题下方带有“ Immutable”。
后续步骤
要了解如何为仓库或组织启用不可变版本,请参阅 阻止对版本进行更改。
要了解如何确保版本和本地资产未发生更改,请参阅 验证版本的完整性。