Absortio

Email → Summary → Bookmark → Email

Add New Statistics About
← Back to list
Previous Next

GitHub - attunehq/attune: The open source artifact registry.

https://github.com/attunehq/attune Apr 20, 2025 21:15

Extracto

The open source artifact registry. Contribute to attunehq/attune development by creating an account on GitHub.

Resumen

Resumen Principal

Attune se presenta como una herramienta avanzada para la publicación y el alojamiento seguro de paquetes Linux, destacando por su seguridad intrínseca y su alto rendimiento. La plataforma permite a los usuarios gestionar repositorios de paquetes con una flexibilidad notable, ofreciendo la opción de desplegar infraestructuras autogestionadas o utilizar su servicio gestionado en la nube. Un pilar central de Attune es su innovador enfoque en la seguridad, donde la firma del índice del repositorio se realiza localmente mediante su interfaz de línea de comandos (CLI). Esto garantiza que las claves de firma GPG permanecen bajo la propiedad y control exclusivo del usuario, evitando su exposición y fortaleciendo la integridad de la cadena de suministro de software. Además, Attune sobresale por su velocidad, lograda a través de la reconstrucción incremental de los índices del repositorio, lo que acelera significativamente la adición y eliminación de paquetes. Actualmente, la herramienta soporta repositorios APT para distribuciones Debian y Ubuntu, con planes de expandir su compatibilidad a futuro, y su proceso de configuración rápida facilita una adopción ágil para desarrolladores y administradores de sistemas.

Elementos Clave

  • Seguridad por Diseño y Propiedad de Claves: Attune implementa un mecanismo de seguridad robusto al ejecutar la firma del índice del repositorio directamente en el entorno local del usuario a través de su CLI. Esta característica fundamental asegura que las claves GPG empleadas para firmar nunca se exponen en la red o en servidores externos, otorgando a los usuarios el control total y la propiedad exclusiva de sus activos criptográficos, vital para la confianza en la distribución de software.
  • Flexibilidad de Despliegue y Soporte APT: La herramienta ofrece a los usuarios una elección estratégica en cuanto a su infraestructura de alojamiento: pueden optar por desplegar un repositorio autogestionado (self-hosted) o aprovechar la infraestructura en la nube administrada por Attune. Inicialmente, Attune se especializa en la publicación de repositorios APT, abarcando las necesidades de las comunidades de Debian y Ubuntu, y anticipa una futura expansión para incluir otros formatos de paquetes.
  • **Rendimiento Optimizado con Reconstrucciones Incrementales

Contenido

Attune

GitHub license

Attune is a tool for securely publishing and hosting Linux packages.

  • Flexible deployment: Deploy a self-hosted package repository, or use our managed cloud infrastructure.
  • Secure by design: Attune's CLI does repository index signing locally, so you can own your signing keys without ever exposing them.
  • Really, really fast: Attune does incremental repository index rebuilds, so adding and removing packages is really fast.

We currently support publishing APT (Debian and Ubuntu) repositories, with more coming soon.

Quick Start

Here's how to set up an APT repository in about 5 minutes.

Requirements

  • Docker (docker)
  • GnuPG (gpg)

Setup

############## First, we need to set up the Attune backend.

# 1. Clone the repository.
git clone git@github.com:attunehq/attune.git && cd attune

# 2. Set up environment variables by copying from .env.example. You should
#    modify these values as needed to suit your deployment, especially
#    ATTUNE_SECRET.
cp .env.example .env

# 3. Start the control plane and supporting services.
docker compose up -d

############## Now, we'll install the CLI and set up a repository.

# 4. Install the Attune CLI by downloading it from GitHub Releases.

# 5. Create a repository.
attune repo create -u 'http://localhost:9000/debian' -d bookworm

# 6. Prepare a `.deb` package to host. One way you can do this is by downloading
#    a sample package e.g. `https://cdn.teleport.dev/teleport_17.4.4_arm64.deb`.

# 7. Add the package to the repository
attune repo pkg -r 1 add -c stable/v17 ~/Downloads/teleport_17.4.4_arm64.deb

############## Lastly, we'll use a GPG key to sign and deploy the repository.

# 8. If needed, generate a GPG key.
gpg --generate-key

# 9. Get the key ID of the secret key you'd like to use to sign.
gpg --list-secret-keys

# 10. Export your signing key (replace $KEYID with your key ID, which is the 40
#     character string next to the `sec` entries in each key).
gpg --armor --export-secret-keys --output demo-key.asc $KEYID

# 11. Sign and deploy the repository.
attune repo -r 1 sync -k demo-key.asc

############## Congratulations, you're done!

For more detailed setup instructions and configuration options, refer to the user guide.

License

Attune is Apache 2 licensed.

Fuente: GitHub