oepkgs社区与openEuler
oepkgs 社区介绍
- oepkgs (Open External Packages Service),开放软件包服务,是一个为 openEuler 等操作系统提供软件包服务和容器镜像服务的公共平台,更多请参考 oepkgs 社区网站。
- 由中国科学院软件研究所、openEuler 社区共同发起并提供支持,旨在为个人开发者、开源社区、OSV、ISV 提供免费的软件包、容器镜像的构建、分发和下载服务。
- oepkgs 承载的软件包在符合开源协议及其他协议的规则的前提下,允许二进制、非免费的软件包分发。
- oepkgs 承载的软件包分发需要符合目标的发行版及其他仓库的规则,兼容基线仓库。
openEuler 扩展仓
说明:
软件包分层发布流程
- 核心包 + 基础包: 基础库、通用基础软件,由包管理 SIG 组发起,经过 TC、release SIG 批准,通过 QA SIG 质量出口标准评估,嵌入到 ISO。
- 扩展包: 平台级大型软件,版本变化节奏快,由社区 SIG 组发起,经过 TC、release SIG 批准, 通过 QA SIG 审核测试报告,纳入到 EPOL。
- 长尾包: 闭源/创新的软件包,由第三方机构、企业、个人在软件所成立 SIG, 经过软件所 TC 批准,通过软件所 QA SIG 审核测试报告,发布到 oepkgs 仓库(openEuler 扩展仓)。
质量要求
- 镜像: 版本迭代质量策划,版本问题解决率 = 100%; 原则上有 CVSS > 7 以上问题不允许发布。
- EPOL: 软件包门禁&构建测试通过率 100%; 软件包(安装、卸载、升级/回退、命令、服务、随机依赖组合);原则上有 CVSS > 7 以上问题不允许发布。
- oepkgs: 软件包门禁&构建测试通过率 100%;软件包(安装、卸载、升级/回退、命令、服务);二进制漏洞、病毒扫描。
openEuler扩展仓的质量保障
说明:
- oepkgs 提供一个成熟的 CICD 体系,支撑软件包引入溯源分析,源码构建,二进制扫描,基本功能验证,漏洞、合规风险感知,补丁、版本更新感知,保障软件仓库质量可靠及持续演进。
openEuler 扩展仓服务
openEuler 扩展仓服务介绍
- oepkgs 平台汇聚 openEuler 官方软件仓与 oepkgs 社区 openEuler 扩展仓,面向 openEuler 生态提供软件包供应服务,为现有操作系统向 openEuler 生态迁移提供支撑和保障。
- oepkgs 平台为 openEuler 操作系统提供 11 个版本的近百万兼容性软件包数据服务,包括软件包高级属性分析、源码仓及上游仓的状态标识,SBOM 分析、依赖可视化图谱、软件包风险分析与针对安全、合规及维护性提供信息公告。
- 为参与从 CentOS、Fedora 等系统向 openEuler 迁移的开发者、OSV 等用户提供一站式便捷的兼容性软件包支持。
检索服务
说明:
- oepkgs 目前收录了 openEuler 官方仓库以及 oepkgs openEuler 扩展仓一共 3w 款软件包。
- 支持 openEuler 各版本二进制包检索。
- RPM 包检索服务:oepkgs 镜像源提供了强大的 RPM 包检索服务,包括包名检索、Command、Files 检索。用户可以通过搜索来快速找到他们需要的软件包,大大提高了用户的工作效率。
元数据分析
说明:
- oepkgs 结合前面所述的 RPM 软件包检索服务,在每个软件包的详情页面给出元数据分析,包括软件包高级属性分析、源码仓及上游仓的状态标识,SBOM 分析、依赖可视化图谱、软件包风险分析与针对安全、合规及维护性提供信息公告。
SBOM 分析
说明:
利用开源软件供应链分析能力,对二进制制品进行扫描,分析其物料清单及许可证信息,并绘制依赖图谱。
- SBOM 分析:软件构件清单(SBOM)是一种描述软件包含什么组件的标准格式。oepkgs 镜像源提供了 SBOM 分析,可以让用户明确地了解软件包的构成。
- 依赖可视化图谱:为了帮助用户更好地理解软件包的依赖关系,oepkgs 镜像源提供了依赖可视化图谱。这可以帮助用户理解软件包的依赖关系,以便更好地管理和解决依赖问题。
安全风险分析
说明:
- 安全风险分析:利用中科院的开源软件供应链平台,oepkgs 镜像源对软件包进行深入的安全分析,可识别出软件包中的潜在安全风险和漏洞。
- 多数据源分析:结合了多个权威的数据源,包括中科微澜、源图、OSS Index、osv.dev 等。充分保证风险分析结果的准确性和全面性。
- 明确的风险公告:“安全风险公告”板块提供了详细的风险数据,并提供了数据来源链接,点击即可直达风险详情,方便用户查阅和分析。我们相信透明度是建立用户信任的关键,所有的风险公告都提供了来源,让用户可以深入理解并做出自己的决策。
应用及反馈
说明:
- 多需求匹配:支持二进制包下载,源码包下载,查看源码仓库、上游源码仓。
- 针对用户使用,给出安装指引。
- 面向用户提供反馈渠道:针对平台问题,可便捷反馈至 oepkgs community gitee 仓库,针对二进制包问题,便捷反馈至源码仓库。
文档捉虫