Skip to content

[supply-chain] vendor/qwen-asr submodule 上游不受控 — 建议 fork 到本组织 #301

Closed
Closed
[supply-chain] vendor/qwen-asr submodule 上游不受控 — 建议 fork 到本组织#301
Labels
enhancementNew feature or request
@appergb

Description

@appergb
appergb
opened on May 6, 2026

背景

vendor/qwen-asr 是指向 https://github.com/antirez/qwen-asr.git 的 git submodule。CI 和本地构建都依赖此 submodule(build.rs 用 cc-rs 编译 antirez 的 C 源码做本地 ASR)。

风险

  • 上游 force push 或删库 → CI 直接挂
  • 上游恶意 commit 注入 → 本地 build 链路被污染(虽然 submodule 钉 commit hash 但更新流程会拉新)
  • antirez 是个人维护的项目,任何变动不可预测

建议

  • Fork 到 appergb/qwen-asr,submodule URL 指向 fork
  • 定期 sync upstream,留时间审查 commit
  • 文档化「升级 submodule 的 review checklist」

来源

docs/audit-2026-05-06.md §1.4 低风险 #7

Metadata

Metadata

Assignees

No one assigned

    Labels

    enhancementNew feature or request

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions