[Priority: Low] [Ops] 评估生成式 bootstrap 资产清单与项目级 release manifest #180
Description
背景
当前 #149 已将 uv 的 bootstrap pin 数据收敛到仓库内静态清单文件,并由 scripts/init_system.sh 读取执行。这已经足够满足当前最小供应链安全目标,但从长期维护角度看,bootstrap 资产清单仍然是手工维护的。
如果未来继续扩展自部署资产治理,仅靠脚本内/仓库内静态手写 pin 可能会逐步变重,适合单独评估是否引入:
- 生成式清单
- 更上层的项目级 release manifest
问题描述
当前仓库还没有统一回答以下问题:
- bootstrap 依赖资产(如
uv)的 pin 清单是否要从官方 release 元数据生成 - 是否要把 bootstrap 资产、项目推荐源码版本、发布入口收敛为一个更高层的项目级 manifest
- 这些清单与
#178的版本/发布策略如何衔接
当前行为
uv资产 pin 已迁移到静态清单文件- 该清单由仓库人工维护
- 项目级版本策略仍由
#178单独评估
期望行为
- 评估是否需要为 bootstrap 资产引入生成式清单流程
- 评估是否需要在更长周期内演进到项目级 release manifest
- 明确这类机制的维护成本、信任边界和适用阶段
范围
- 评估“生成式 bootstrap 资产清单”是否值得引入
- 评估“项目级 release manifest”是否值得引入
- 明确与
#178的边界#178负责项目版本与发布策略- 本 issue 负责支撑这些策略的 manifest / 资产清单治理形态
- 给出最小建议
- 继续保持静态清单
- 还是增加生成脚本 / manifest 文件结构
非目标
- 不在本 issue 内直接改造现有 bootstrap 脚本
- 不在本 issue 内重构完整发布流程
- 不处理 Node.js / OpenCode installer 的即时实现细节
验收标准
- 给出是否需要“生成式清单”的明确结论
- 给出是否需要“项目级 release manifest”的明确结论
- 说明各方案的收益、成本和推荐时机
关联
- Relates to [Priority: Low] [Security] 加固 init_system 供应链安全基线(脚本安装链路) #149
- Relates to [Priority: Low] [Ops] 明确当前项目的版本管理与发布策略(main/tag/release/commit) #178
参考快照
- repo HEAD: 7173d6b