conda-forge 核心會議 2025-02-19

在 `您的 __new__() 議程項目` 標題下新增議程項目

• Zoom 連結
• 我的時區會議時間
• 先前的會議

出席者

姓名	縮寫	GitHub ID	隸屬關係

總計 X 人

常設項目

• [ ]

來自先前會議

• [ ]

進行中的投票

• [ ]

您的 new() 議程項目

• (JRG)：NumFOCUS 行為準則工作小組。
  • 選擇加入或不加入？
  • 如果選擇加入，請在「建議」或「回應」之間選擇。
  • 在 Zulip/core 的「NF 新行為準則工作小組」討論串中討論
• (JRG) 不活躍核心成員轉榮譽成員程序即將開始。
• (WV) 從快取輸出到輸出的 Run-exports「附加」模式
• (WV) 為生態系統新增 sigstore 支援：predicate 欄位中應包含什麼？
  • 預設內容由 Github 新增，但我們也可以在自由格式欄位中新增資訊。
  • PyPI 沒有新增任何內容，但目前我們可以新增頻道 + 標籤。
  • 與 Anaconda 安全團隊聯繫中。
  • MRB：如果人們移動頻道會怎麼樣？這會使簽名失效嗎？
    • blob 本身不會改變。重點在於檢查聲明是否與來源頻道匹配。這樣您就可以識別來自「原始」上傳的副本。為了更加安全，頻道還需要對其進行反簽名並「驗證」初始聲明。
  • MRB：如果我們 conda-forge 使用「我們的金鑰」簽署套件，那麼這是一個非常強烈的聲明：「我們 conda-forge 生成了這個套件」。
• IF：用於簽署 conda-launcher 的憑證？
  • 目前由 Anaconda 簽署，阻礙 win-arm64 部署
  • 我們可以使用 Azure 提供的 NumFOCUS 擁有的憑證簽署它們（每月 10 美元）
  • 將 repo 克隆到 conda-forge，在 CI 中建置二進制檔案並重新封裝它們。
  • Wolf 將與 NF 聯繫。

推遲到下次會議

• [ ]

CFEPs

• [ ]