我們在 conda-forge 上為具有編譯擴展但具有純 Python 參考實作的 Python 套件引入 noarch 變體，以方便新 Python 變體的早期採用者使用。

conda-forge 現在在 conda 上支援 Python 3.13。您可以執行以下命令來建立具有 Python 3.13 的新環境

conda create -n py313 python=3.13 -c conda-forge

在 2024 年 3 月 29 日 18:07 UTC，核心團隊得知最近公開的 xz 後門程式，現在標記為 CVE-2024-3094。

就我們所知，conda-forge 的 xz 產物未受影響。

在 2023 年 6 月，Anaconda 的軟體工程師報告了 miniforge 和 mambaforge 安裝程式 Windows 版本中包含的解除安裝程式的安全問題，這是啟動基於 conda-forge 的 conda 和 mamba 發行版的主要方法之一。

在 2023 年 1 月初，CircleCI 通知我們，他們發生了大規模的安全漏洞，第三方已獲得存取服務中儲存的所有環境機密的權限。對於 conda-forge，這些機密是用於將建置的套件上傳到 anaconda.org 上的暫存區域的 API 令牌，以及我們為每個 feedstock 產生的唯一令牌。feedstock 令牌用作我們產物暫存過程的一部分，以確保只有給定 feedstock 的維護者才能上傳由該 feedstock 建置的套件。1 月下旬，CircleCI 通知我們，他們的安全漏洞始於 2022 年 12 月 19 日，大部分機密在幾天後以純文字形式從他們的伺服器中洩露出來。可以存取這些機密的惡意第三方可能會在所謂的「供應鏈」攻擊中上傳 conda-forge 上任何套件的受損版本。

這篇部落格是關於我在 Outreachy 實習期間與 conda-forge 合作的工作。在此之前，先簡單介紹一下我自己 - 我是 Surbhi，是 2022 年 5 月至 8 月 Outreachy 實習計畫的 conda-forge 實習生，我的工作是記錄 conda-forge 生態系統。

最近，我們已經能夠將支援 GPU 的 TensorFlow 建置版本添加到 conda-forge！這是一段漫長的旅程，多位貢獻者嘗試了不同的方法來說服基於 Bazel 的 TensorFlow 建置系統來建置支援 CUDA 的套件。但我們成功了，而且 pull request 已合併。

在 2021 年 9 月 9 日，我們的一位核心開發人員發現，在 Travis CI 上建置的產物正在從在 fork 儲存庫上執行的 PR 上傳到我們的 conda 頻道。快速調查顯示，Travis CI 正在將加密的機密傳遞給 fork 上的 PR 建置。進一步檢查我們的日誌和產物表明，這種情況從 2021 年 9 月 3 日左右就已經發生了。Travis CI 隨後確認了這個安全漏洞。請參閱此 CVE 以取得有關此事件的更多詳細資訊。據我們所知，沒有針對 conda-forge 的實際漏洞利用使用此漏洞。

當貢獻套件到 conda-forge 時，Grayskull 可以讓您的生活更輕鬆。Grayskull 為 PyPI 上託管的 Python 套件產生配方。

Conda-forge 正在參與即將到來的 Outreachy 計畫，即 2021 年 5 月至 2021 年 8 月。該計畫的目標是增加代表性不足的群體參與自由和開放原始碼軟體。Outreachy 由 軟體自由保護協會組織。