Homebrew 6.0:开发者供应链走向显式信任
Dev
Homebrew 6.0 增加 tap trust、Linux sandbox、brew vulns 和 Brewfile 改进。Laptop 和 CI 都应被视为供应链表面。
Supply-chain read
风险:approval fatigue 和 bootstrap script 破坏。只使用官方 taps 的个人变化较小。
What happened
Homebrew 6.0.0 于 2026 年 6 月 11 日发布,包含 tap trust、默认 JSON API、Linux sandboxing、brew bundle 改进、性能优化和 macOS 27 初始支持。
Why it matters
Tap 可以包含 formulae、casks 和 commands。第三方 tap 可能执行 Ruby,因此 trust 应成为团队策略。
Community signal
社区信号显示 Intel Mac 时间线和 trust UX 有摩擦。uninstall/cleanup 也说明 trust 覆盖整个生命周期。
Checklist
Checklist:盘点 brew tap,优先 specific trust,review Brewfile,测试 CI prompt,定期运行 brew vulns。
Risks
风险:approval fatigue 和 bootstrap script 破坏。只使用官方 taps 的个人变化较小。
Team policy map
| Area | Decision | Why |
|---|---|---|
| Taps | Official, internal, or third-party | A tap can execute code on developer machines. |
| Brewfile | Reviewed environment state | Bootstrap is part of supply chain control. |
| Linux CI | Sandbox canary | Source builds may assume filesystem or network access. |
| Audit | brew vulns plus scanner policy | Workstation risk needs a lightweight signal. |
Checklist:盘点 brew tap,优先 specific trust,review Brewfile,测试 CI prompt,定期运行 brew vulns。
• Checklist:盘点 brew tap,优先 specific trust,review Brewfile,测试 CI prompt,定期运行 brew vulns。