Wsparcie i cykl życia SDK
Rakomi publikuje datowane okna wsparcia dla każdej wersji głównej SDK — to kontrakt cyklu życia, który audytor może zacytować. Ta strona to widok dla ludzi naszej maszynowo czytelnej polityki wsparcia.
Wsparcie zgodne z CRA
🛡️ Polityka wsparcia zgodna z CRA
Datowany kontrakt wsparcia na wersję główną — co najmniej 5 lat (60 miesięcy) (CRA Art. 13(8)) oraz skoordynowane ujawnianie podatności (CRA Art. 14).
Uwaga: to postawa dokumentacyjna i polityczna, a nie ukończona ocena zgodności. Deklaracja zgodności UE oraz oznakowanie CE pojawiają się w dacie stosowania CRA (grudzień 2027) i nie zostały jeszcze wydane.
Polityka
- Każda wersja główna otrzymuje datowane okno wsparcia co najmniej 5 lat (60 miesięcy).
- Bieżąca (N) i poprzednia (N-1) wersja główna są wspierane równolegle.
- Poprzednia wersja główna (N-1) otrzymuje wyłącznie poprawki bezpieczeństwa.
- Paczki przed 1.0 (
0.x) nie mają żadnej gwarancji stabilności ani wsparcia (SemVer 2.0.0 §4) do wersji 1.0.
Legenda statusów
- Active — bieżąca wersja główna (N); otrzymuje wszystkie poprawki.
- Maintenance — poprzednia wersja główna (N-1); wspierana równolegle.
- Security-only — N-1 otrzymuje wyłącznie poprawki bezpieczeństwa i krytycznych regresji.
- EOL — po dacie zakończenia wsparcia; brak dalszych aktualizacji.
Okna wsparcia
Polityka wygenerowana 2026-06-18
Poniższe daty są renderowane z kanonicznej, maszynowo czytelnej polityki pod adresem
/.well-known/sdk-support.json — możesz
zweryfikować, że ta strona nie jest wpisywana ręcznie.
Nie opublikowano jeszcze żadnej wersji GA.
Datowane okna wsparcia (co najmniej 5 lat / 60 miesięcy) pojawiają się w wersji 1.0. Paczki
przed 1.0 (0.x) nie mają gwarancji stabilności ani wsparcia. Gdy pojawi się
pierwsza wersja GA, jej datowane okno pojawi się tu automatycznie.
| Wersja | Status | Wydano | EOL | Uwagi |
|---|---|---|---|---|
| Brak opublikowanych wersji — zobacz uwagę powyżej. | ||||
Proweniencja i SBOM
Po opublikowaniu każda paczka dostarczana jest z proweniencją kompilacji, którą możesz zweryfikować samodzielnie:
npm audit signatures Dostępne od pierwszego publicznego wydania — żadne podpisy jeszcze nie istnieją (przed publikacją).
| Paczka | npm | SBOM (CycloneDX) | Wydania | Bezpieczeństwo |
|---|---|---|---|---|
@rakomi/node | npm | sbom.cdx.json | Wydania | SECURITY.md |
@rakomi/sdk-core | npm | generowane przy pierwszej publikacji | Wydania | SECURITY.md |
@rakomi/react | npm | sbom.cdx.json | Wydania | SECURITY.md |
@rakomi/react-native | npm | generowane przy pierwszej publikacji | Wydania | SECURITY.md |
Odnośniki do Releases, SECURITY.md i SBOM staną się publicznie dostępne od pierwszego publicznego wydania — przed publikacją repozytorium źródłowe jest prywatne; te same pliki są też dołączane do każdego opublikowanego pakietu npm.
Zweryfikuj nas samodzielnie
Nie wierz nam na słowo. Od pierwszego publicznego wydania możesz potwierdzić każdą deklarację dotyczącą łańcucha dostaw na tej stronie spoza naszego CI — to dokładnie te polecenia, które uruchamia sceptyk:
- Verify registry signatures + provenance for the installed tree
npm audit signatures - Verify the provenance attestation for a published version
gh attestation verify --repo rakomidev/rakomi-js "$(npm pack @rakomi/sdk-core@latest --silent)" - Re-pack from this source at the immutable per-package tag and compare the SHA-512 digest
git checkout sdk-core/v<version> && npm ci && npm pack --workspace @rakomi/sdk-core
Pełny przewodnik: VERIFY.md — dostępny publicznie od pierwszego publicznego wydania.
Co proweniencja udowadnia — a czego nie
Each published package carries build provenance (SLSA Build L2) generated from this public repository via OpenID Connect trusted publishing — the bytes you install are cryptographically bound to the source you can read here.
It does not claim a bit-for-bit reproducible build against any private canonical source: shared internals are inlined at build time, and the readable source here is the real, inspectable source those bytes were produced from. The substantiated claim is provenance + signatures + a public npm pack you can re-run — not reproducibility against a hidden oracle.
How this repository works (per-release clean-room snapshots)
Each published version is a self-contained clean-room snapshot committed as a zero-parent (orphan) tree — there is deliberately no linear git ancestry between releases. The version history you should follow lives in the npm version timeline and the CHANGELOG, not in git parent links. Zero-parent commits here are the model working as designed, not a sign of tampering.
This public repository is a published artifact, not a development fork: pull requests are not merged into a per-release orphan tree. Development happens upstream; each release re-publishes a fresh snapshot. Report bugs, ask questions, or open a feature request through the channels listed in each package’s SECURITY.md, and report vulnerabilities privately via GitHub private vulnerability reporting (never in a public issue).
Security advisories (GHSA) describe a fix as "fixed in version 0.x.y — see the immutable per-package tag" rather than as a commit diff: under the orphan model the authoritative, verifiable reference is the published version and its signed, immutable tag, which provenance binds to the exact source you can read.
Więcej
- Polityka maszynowo czytelna:
/.well-known/sdk-support.json - Dokumentacja towarzysząca CRA: Zgodność z CRA
- Odpowiedzialne ujawnianie: Bezpieczeństwo · Postawa bezpieczeństwa: Zaufanie