Eclipse Adoptium 2022年回顾与2023年规划

Eclipse Adoptium工作小组发布了《Eclipse Adoptium: 2022年回顾与2023年规划》文档，详细总结了2022年的成就以及2023年的发展计划。Eclipse Adoptium提供Eclipse Temurin JDK和JRE二进制文件，并于2022年推出了Adoptium Marketplace，用于第三方运行时的发布。2022年，Adoptium共发布了166个版本，每个版本都通过了数千次测试，验证了其在多个平台上的兼容性。

项目背景与发展

AdoptOpenJDK项目于2017年启动，2020年加入Eclipse基金会，并更名为Eclipse Adoptium。2021年，Adoptium发布了首个Temurin JDK版本，支持多种操作系统（如Alpine Linux、Windows、macOS、AIX和Solaris）和架构（如x64、x86、aarch64和arm）。

Adoptium质量保证与市场

Adoptium质量保证（AQAVit）是一个开源测试套件，2022年新增了测试用例、远程触发的新测试管道以及Jenkins自动重试功能。Adoptium Marketplace于2022年推出，提供了经过TCK和AQAVit验证的运行时，来自Red Hat、Microsoft、Azul、IBM、华为和阿里云等组织。

成员与合作

2022年，Google和Rivos加入了Adoptium工作小组的战略成员行列，与阿里云、微软、Red Hat、Azul Systems、华为和Karakun共同推动Adoptium的发展。这些成员可能参与指导委员会或其他子委员会，如市场、品牌、质量保证或基础设施，确保Adoptium Temurin作为一个安全、可信且高质量的发行版，长期免费提供给开发者和组织。

安全软件开发与供应链安全

Adoptium采用了美国国家标准与技术研究院（NIST）发布的《安全软件开发框架》（SSDF），以减少漏洞。Adoptium还使用OWASP CycloneDX物料清单（BOM）标准，生成JSON格式的软件物料清单（SBOM）。此外，Adoptium致力于实现可重复构建，确保二进制文件的一致性，并引入了GPG签名和SHA校验和，以验证构建的完整性。所有关键仓库都启用了双因素认证和双人审查。

Adoptium Temurin达到了SLSA（软件工件供应链安全框架）的第二级合规性，这意味着项目开始防止软件篡改，并增加了最低限度的构建完整性措施。SLSA共有四个级别，第四级提供了最高的构建完整性和依赖管理措施。

2023年规划

2023年，Adoptium的重点是增长。目前有不到一百人参与项目，但每周有数百万次下载和数千名Slack用户。Adoptium计划增加社区参与，特别是通过Slack频道收集反馈。项目还希望鼓励开源解决方案的用户考虑使用Eclipse Adoptium，并增加与其他Eclipse项目的合作，扩大社区规模并获得更多反馈，从而改进基础设施组件，如AQAvit的自动化。

资源与文档

Adoptium网站提供了Temurin二进制文件、Marketplace的其他项目二进制文件以及详细的文档。更多关于2022年成果和2023年计划的信息，请参阅Eclipse Adoptium: 2022年回顾与2023年规划博客。