Homebrew 6.0: явное доверие в developer supply chain
Homebrew 6.0 добавляет tap trust, Linux sandbox, brew vulns и улучшения Brewfile. Лaptops и CI стоит считать частью supply chain.
Supply-chain read
Риск: approval fatigue и сломанные bootstrap scripts. Если используются только official taps, изменений меньше.
What happened
Homebrew 6.0.0 вышел 11 июня 2026 с tap trust, default JSON API, Linux sandboxing, улучшениями brew bundle, performance и macOS 27 support.
Why it matters
Tap может содержать formulae, casks и commands. Third-party taps могут выполнять Ruby, значит trust должен быть team policy.
Community signal
Сообщество обсуждает friction вокруг Intel Mac и trust UX. Uninstall и cleanup показывают, что trust действует весь lifecycle.
Checklist
Checklist: inventory brew tap, specific trust, Brewfile review, CI без prompt deadlock, периодический brew vulns.
Risks
Риск: approval fatigue и сломанные bootstrap scripts. Если используются только official taps, изменений меньше.
Team policy map
| Area | Decision | Why |
|---|---|---|
| Taps | Official, internal, or third-party | A tap can execute code on developer machines. |
| Brewfile | Reviewed environment state | Bootstrap is part of supply chain control. |
| Linux CI | Sandbox canary | Source builds may assume filesystem or network access. |
| Audit | brew vulns plus scanner policy | Workstation risk needs a lightweight signal. |
Checklist
• Checklist: inventory brew tap, specific trust, Brewfile review, CI без prompt deadlock, периодический brew vulns.