← 返回信息流
AI 资讯Hacker News·6 小时前

Homebrew 发布 6.0.0 版本

原标题:Show HN: Homebrew 6.0.0

速览

Homebrew 发布了其 6.0.0 版本。作为 macOS 和 Linux 上广泛使用的软件包管理器,此次更新带来了新的功能和改进。

AI 深度解读

Homebrew 6.0.0 发布:安全重构与性能飞跃的深度解读

背景

Homebrew 作为 macOS 和 Linux 系统上最流行的软件包管理器,其版本迭代往往标志着底层架构与安全策略的重大调整。此次发布的 Homebrew 6.0.0 是继 5.1.0 之后的一次重大版本更新。这一版本不仅带来了显著的性能优化,更引入了全新的安全机制以应对日益复杂的第三方扩展风险。

随着 Homebrew 用户基数的扩大,第三方 Tap(扩展仓库)中可能包含未经沙箱保护的任意 Ruby 代码,这给系统安全带来了潜在威胁。此外,随着 macOS 生态的演进(如向 Apple Silicon 全面过渡及未来 macOS 版本的规划),Homebrew 需要在保持向后兼容的同时,为未来的操作系统版本(如传闻中的 macOS 27 "Golden Gate")做好准备。本次更新旨在通过重构内部 API、强化沙箱机制以及优化默认行为,提升软件包管理的效率、安全性和用户体验。

核心内容

1. Tap Trust(Tap 信任机制)

这是 6.0.0 版本中最显著的安全变更。由于第三方 Tap 可能包含任意且未沙箱化的 Ruby 代码,Homebrew 现在要求在使用任何 Tap(以及 Tap 限定范围内的 Formulae 和 Casks)之前,必须显式信任它们。

  • 默认策略:官方 Homebrew Tap 默认保持信任状态,而第三方 Tap 默认不被信任。
  • 执行机制
    • 在代码运行前标记未信任的 Tap。
    • 在安装前信任合格的 Tap 项目。
    • 停止自动 Tap 未信任的仓库。
    • 将 Tap 的 allow、forbid 和 trust 列表固定到远程端。
    • 在评估所有 Formulae 和 Casks 时使用 Tap 信任机制。
  • 命令更新
    • brew tap 新增管理 Tap 信任的命令,支持通过远程 URL 信任 Tap。
    • brew trust 新增 --json=v1 标志。
    • brew tap-info 新增 trusted 字段。
    • brew bundle 支持 trusted: 选项,brew bundle dump 会记录受信任的 bundle 条目,并将自定义远程 Tap 标记为受信任。
    • 文档网站新增 Tap-Trust 页面,Test-bot 中也实现了对 Tap 的信任。

2. 默认内部 JSON API

Homebrew 内部使用的 JSON API 现在成为默认选项。这一 API 将 Homebrew 的所有元数据合并为单次下载,从而减少网络交互并加快 brew update 的速度。

  • 历史背景:该 API 自 5.0.0 版本起通过环境变量 HOMEBREW_USE_INTERNAL_API 提供可选支持。
  • 变更:现在该 API 默认启用,旧的环境变量 HOMEBREW_USE_INTERNAL_API 已被弃用。

3. Linux 沙箱支持

Linux 平台现在引入了 Bubblewrap 沙箱,使其构建、测试和安装后阶段与 macOS 保持一致。

  • 默认状态:对开发者默认开启。
  • 技术细节
    • macOS 沙箱逻辑被重构以共享代码。
    • 改进了 Linux 沙箱行为(homebrew-core 在 CI 中设置沙箱环境变量)。
    • 加固了沙箱内的安装阶段和 Cask 可执行文件钩子。
    • 允许在构建沙箱中查看日志。
    • 在托管的 Ubuntu 上安装 Bubblewrap。
    • 对于仅涉及语法检查的任务,跳过沙箱设置。

4. 基于用户调查的默认值优化

根据 Homebrew 用户调查的结果,Homebrew 调整了多项默认行为,主要聚焦于提升透明度与控制权。

  • Ask 模式默认化:对开发者而言,ask 模式成为默认值。这意味着在执行 brew installbrew upgrade 之前,会显示依赖摘要并弹出确认提示。
  • 依赖计划支持:新增对依赖计划和 Cask 的 ask 支持,接受单键确认,并统一了 ask dry-run 的提示行为。
  • 升级流程优化
    • 批量获取 ask 升级项。
    • 更早打印升级摘要。
    • 若无升级项则跳过提示。
    • brew upgrade 结束时显示最终摘要,并解释升级元数据的获取过程。

5. Brew Bundle 改进

brew bundle 功能得到了大幅增强,特别是在并行处理和扩展支持方面。

  • 并行安装:Formula 的并行安装现在默认自动运行。
  • 扩展支持:新增 npmkrew 扩展,并在 Windows 上支持 winget
  • 清理支持npmcargogouv 扩展现在支持清理功能,并在清理前询问用户。
  • 其他改进
    • brew bundle krew 直接通过 kubectl-krew 运行。
    • cargo 尊重 CARGO_HOME 等环境变量。
    • brew bundle add 新增 --describe 标志。
    • 优先尝试 mas install,失败后回退到 mas get
    • 新增 bundle 类型禁用标志,改进检查指南,并检查 Formula 链接状态。
    • 序列化 Formula 锁,将非核心 DSL 合并为单文件,移除 brew bundle remove 中的描述注释,避免解析 brew services list 的输出。
    • 更安全地执行 npm 安装。

6. 性能提升

Homebrew 整体性能得到显著提升:

  • 启动性能经过微调。
  • brew leaves 速度提升约 30%。
  • 在升级期间并行获取 Bottle(预编译包)标签。
  • 启动时加载 Ruby 库的工作量减少。

7. macOS 27 (Golden Gate) 初步支持

Homebrew 6.0.0 开始提供对 macOS 27(代号 Golden Gate)的初步支持。

8. 安全公告与改进

安全公告

  • POST 下载策略绕过:修复了通过丢弃解析后的 URL 绕过 HTTPS 到 HTTP 重定向保护的问题(GHSA-7699-qf8c-q47m),现强制安全重定向。
  • Root 代码执行漏洞:修复了通过 macOS .pkg 安装后阶段的 Git hooks 执行 Root 代码的问题(GHSA-6689-q779-c33m),方法是在安装后清理 Homebrew git 状态并替换安装器 git 目录。
  • 所有权提升漏洞:修复了 macOS 安装包信任用户控制的 /var/tmp plist 并可能将 Homebrew 所有权分配给本地攻击者的问题(GHSA-59v8-x8q4-px5c),通过调整 .pkg 包的用户 plist 处理逻辑解决。

其他安全改进

  • 在 Ruby 评估期间过滤敏感环境变量,并将 HOMEBREW_* 环境变量秘密延迟到下载时处理。
  • 在下载前对 Casks 和 Formulae 运行禁止检查。
  • 允许通过 HOMEBREW_CASK_OPTS_REQUIRE_SHA 要求 Casks 提供校验和。
  • 链接到共享安全策略。

9. 弃用事项

  • 弃用默认的可选功能(opt-ins)。
  • 弃用现已成为默认值的环境变量,如 HOMEBREW_BUNDLE_NO_SECRETSHOMEBREW_USE_INTERNAL_API
  • 标记未使用的选项以供弃用。
  • SBOM(软件物料清单)支持现在变为通过 `HOM

相关推荐

查看原文 →brew.sh