Homebrew 6.0: supply chain developer cần trust rõ ràng
Homebrew 6.0 thêm tap trust, Linux sandbox, brew vulns và cải tiến Brewfile. Laptop và CI nên được xem là supply chain.
Supply-chain read
Rủi ro: approval fatigue và bootstrap script bị vỡ. Nếu chỉ dùng official taps thì thay đổi ít hơn.
What happened
Homebrew 6.0.0 phát hành ngày 11/6/2026 với tap trust, default JSON API, Linux sandboxing, cải tiến brew bundle, performance và hỗ trợ macOS 27 ban đầu.
Why it matters
Tap có thể chứa formulae, casks và commands. Third-party tap có thể chạy Ruby, vì vậy trust phải là chính sách team.
Community signal
Cộng đồng có friction về Intel Mac và trust UX. Uninstall và cleanup cho thấy trust ảnh hưởng cả lifecycle.
Checklist
Checklist: inventory brew tap, ưu tiên specific trust, review Brewfile, test CI prompt, chạy brew vulns định kỳ.
Risks
Rủi ro: approval fatigue và bootstrap script bị vỡ. Nếu chỉ dùng official taps thì thay đổi ít hơn.
Team policy map
| Area | Decision | Why |
|---|---|---|
| Taps | Official, internal, or third-party | A tap can execute code on developer machines. |
| Brewfile | Reviewed environment state | Bootstrap is part of supply chain control. |
| Linux CI | Sandbox canary | Source builds may assume filesystem or network access. |
| Audit | brew vulns plus scanner policy | Workstation risk needs a lightweight signal. |
Checklist
• Checklist: inventory brew tap, ưu tiên specific trust, review Brewfile, test CI prompt, chạy brew vulns định kỳ.