Homebrew 6.0: la supply chain développeur passe à la confiance explicite
Homebrew 6.0 ajoute tap trust, sandbox Linux, brew vulns et des améliorations Brewfile. Les laptops et CI deviennent une surface supply chain.
Supply-chain read
Risque: fatigue d’approbation et scripts bootstrap cassés. Les setups avec taps officiels seulement verront peu de changement.
What happened
Homebrew 6.0.0 est sorti le 11 juin 2026 avec tap trust, JSON API par défaut, sandboxing Linux, améliorations brew bundle, performance et support macOS 27.
Why it matters
Un tap peut contenir formulae, casks et commandes. Les taps tiers peuvent exécuter du Ruby; la confiance doit donc être revue comme une politique.
Community signal
Les discussions montrent des frictions sur Intel Mac et l’UX de trust. Uninstall et cleanup rappellent que la confiance couvre tout le cycle de vie.
Checklist
Checklist: inventorier les taps, préférer une confiance spécifique, revoir les Brewfile, tester CI contre les prompts, lancer brew vulns périodiquement.
Risks
Risque: fatigue d’approbation et scripts bootstrap cassés. Les setups avec taps officiels seulement verront peu de changement.
Team policy map
| Area | Decision | Why |
|---|---|---|
| Taps | Official, internal, or third-party | A tap can execute code on developer machines. |
| Brewfile | Reviewed environment state | Bootstrap is part of supply chain control. |
| Linux CI | Sandbox canary | Source builds may assume filesystem or network access. |
| Audit | brew vulns plus scanner policy | Workstation risk needs a lightweight signal. |
Checklist
• Checklist: inventorier les taps, préférer une confiance spécifique, revoir les Brewfile, tester CI contre les prompts, lancer brew vulns périodiquement.