目录
关于 Hacktoberfest
Hacktoberfest 是一个年度活动,旨在鼓励开发者为开源项目做出贡献。该活动由 DigitalOcean、GitHub 和其他合作伙伴组织,每年十月举办。
谁可以参与贡献
任何人都可以参加 Hacktoberfest。作为一家以开源为首的公司,SafeDep 的开源项目欢迎所有技能水平和背景的开发者贡献。然而,作为一家专注于软件供应链安全的公司,我们特别鼓励安全研究人员和专业人士为我们的项目做出贡献。
如果您是一名希望熟悉开发者工作流程的安全工程师,或者是一名希望了解更多安全知识的开发者,这是一个为专注于保护开源软件供应链的项目做出贡献的绝佳机会。
如何贡献
SafeDep 开源项目托管在以下 GitHub 仓库中。不要忘记为您感兴趣的项目加星标,以接收更新并表示支持。
| 项目 | 描述 | 仓库 |
|---|---|---|
vet | 用于审查开源软件包的瑞士军刀 | github.com/safedep/vet |
pmg | 防止恶意软件包的软件包管理器守卫 | github.com/safedep/pmg |
xbom | 使用静态代码分析生成 XBOM | github.com/safedep/xbom |
以下是您如何选择要贡献的项目。
- 如果您是一名安全研究人员,您可以通过添加新策略、生态系统支持等方式为
vet做贡献。 - 如果您希望改善开发者安全,请查看
pmg,它旨在保护开发者免受恶意软件包的侵害。 - 如果您对静态代码分析感兴趣,请查看
xbom,它使用自定义静态代码分析引擎和基于 YAML 的签名来匹配代码语义。
开始参与非常简单。请按照以下步骤操作:
- 您必须拥有 GitHub 或 Gitlab 账户并登录 Hacktoberfest
- 浏览任意一个仓库,例如 https://github.com/safedep/vet
- 查看 issues 部分
- 如果您是初次参与,请查找带有
good first issue标签的问题 - 在您想要处理的问题下发表评论并请求分配给您
- 提交包含您更改的 pull request
- 通过审核流程并使您的 PR 被合并
一旦您的 PR 被合并,您的贡献将被计入 Hacktoberfest。您可以在 Hacktoberfest 仪表板 上跟踪您的进度。
有趣的使用场景
保护 AI 代码生成安全
vet 支持嵌入式 MCP 服务器,可与 Cursor、Claude Code 等 AI IDE 和编码代理集成。您可以通过测试与各种编码代理的集成、添加有助于开发者编写安全代码的新工具、防止在生成的代码中使用存在漏洞和恶意的开源软件包来做出贡献。以下是它与 Claude Code 配合使用的演示。
您可以在文档中找到有关此集成的更多信息。请查看待处理的问题以获取待处理项目、想法和功能请求。
改进 PMG
pmg 作为 npm、pnpm 等流行软件包管理器的安全包装器。您可以通过添加对新软件包管理器的支持、改善开发者体验、添加规则引擎、离线数据库等新功能来做出贡献。请查看待处理的问题了解更多详情。以下是它的工作演示。
为 xBOM 添加语言规则
xbom 使用静态代码分析生成 XBOM。您可以通过添加对新编程语言的支持、改进静态代码分析引擎、添加与 SCA 工具、CI/CD 管道集成等新功能来做出贡献。请查看待处理的问题了解更多详情。以下是它的工作演示。
社区与支持
SafeDep 拥有一个由热衷于保护开源软件供应链的开发者、安全研究人员组成的活跃社区。您可以加入 SafeDep 社区 Discord 来讨论 SafeDep 项目、获取帮助并分享您的想法。
许可证
所有 SafeDep 开源项目均采用 Apache 2.0 许可证。这意味着您可以自由使用、修改和分发代码,包括用于个人或商业项目。
- hacktoberfest
- oss
- vet
- pmg
- xbom
SafeDep 博客最新内容
关注以获取开源安全与工程方面的最新更新和见解