问题——“官方包名”被抢先占用,假冒版本短时进入下载链路。 据开发团队披露,2月26日凌晨,Cupy 团队计划在公共软件包索引注册“cupy-cuda112”(面向 CUDA 11.2 的加速组件)时,发现该名称已被他人提前注册,仓库中还出现了标注为 v2.2.2 的版本。相较团队当前维护的主线版本,该版本号明显落后,容易让用户在不知情的情况下安装到非官方包。发现异常后,团队在社交平台和代码托管平台同步发布提醒,并向平台申请移除。平台当日上午完成下架处理,官方于3月2日补发正版软件包。
开源生态依赖协作与共享,也需要规则、工具和习惯共同守护。从平台治理到项目自律,再到开发者“安装前先核验”的日常实践,只有把供应链安全落实到每一次发布与每一次依赖引入,才能减少“短时抢注、快速扩散”反复出现,守住技术创新的可信基础。