GitHub发布功能现已全面支持不可变发布，用户可启用该功能确保发布内容不被修改，同时提供发布认证和验证机制。

GitHub正式推出不可变发布功能

GitHub于2025年10月28日宣布，不可变发布功能现已全面开放。这项新功能为软件供应链安全提供了额外保障，确保发布后的资产和标签不会被篡改，从而维护软件的可靠性和安全性。

核心功能特性： 1. 不可变资产：启用后，已发布的资产无法被添加、修改或删除 2. 标签保护：新发布的不可变版本标签将受到保护，禁止删除或移动 3. 发布认证：系统会自动生成签名认证，支持在GitHub内外环境验证资产真实性

配置方式： 用户可在仓库或组织级别的设置中启用该功能。启用后： - 所有新发布将自动变为不可变状态 - 现有发布保持可变性，除非重新发布 - 关闭功能不会影响已创建的不可变发布

验证机制： 采用Sigstore捆绑格式的认证机制，用户可通过GitHub CLI或任何兼容Sigstore的工具进行验证，并支持在CI/CD流程中实现自动化策略执行。

GitHub鼓励用户通过社区论坛提供反馈，并建议查阅官方文档获取详细配置指南。这项功能的推出标志着软件供应链安全防护能力的进一步提升。

以下是评论内容的总结：

1. 对不可变发布的支持与质疑

   • 支持者认为这是必要的安全改进，但惊讶于之前版本允许可变发布（评论1："Wait?! They weren't immutable before?"）
   • 质疑删除禁令的合理性，认为供应链攻击可能通过删除而非修改发布进行（评论4："supply chain attacks work by deleting a release"）

2. 对GitHub核心功能的批评

   • 用户抱怨PR审查等基础功能恶化，认为应优先修复而非新增功能（评论2："Reviewing PRs has somehow gotten even worse"）
   • 期待更简洁的界面，如预渲染PR差异以提升速度（评论2："I don't care if it's 5 megabytes of diff"）

3. 功能改进建议

   • 要求明确区分GitHub官方与私有Runner执行的Action（评论3："let users know the action was run by github"）
   • 建议在UI中直观显示发布的不可变性状态（评论5："easy way to see in the UI"）

4. 实施细节的讨论

   • 欢迎不可变发布简化了校验流程（评论7："This is not needed anymore for immutable releases"）
   • 质疑"不可变"的术语使用，建议直接标注"已编辑"（评论8："say 'editing disabled'"）

5. 法律与伦理担忧

   • 指出完全禁止删除可能妨碍危险版本的撤回（评论10："must have the ability to retract"）
   • 建议保留修改记录或内容哈希作为替代方案（评论11："showed a record of modifications"）

关键矛盾点：安全改进的初衷获得认可，但实施方式（尤其是删除限制）引发对实际场景适用性的质疑。部分用户更希望资源投入基础功能优化而非新特性。