开源工程的核心贡献

在Trail of Bits，我们以将核心工具开源而自豪，例如Slither、PolyTracker和RPC Investigator。但本文的重点并非我们的自有工具——2023年，我们的员工向非Trail of Bits代码库提交了超过450个被合并的Pull Requests（PRs），这体现了我们对提升整个软件生态系统安全性的承诺。以下是部分亮点：

Sigstore生态建设

Sigstore-conformance 作为开源工程中Sigstore计划的关键组件，是一个针对多样化Sigstore客户端实现的集成测试套件。它通过严格验证客户端行为是否符合测试规范，重点处理关键场景，并与建立官方Sigstore客户端规范的工作保持同步。该测试套件设计注重工作流集成，仅需最小化配置即可提供全面的客户端测试支持。

Protobuf-specs 是我们另一个开源项目，作为标准化数据模型和协议的协作仓库，它托管了Sigstore消息的规范定义。更新protobuf定义时，用户可通过Docker运行$ make all生成Go和Python的协议存根文件，输出位于gen/目录下。

密码学基础设施维护

PyOpenSSL 是集成OpenSSL功能的Python主流库。在过去九个月中，我们根据与STF的合约，积极承担了pyOpenSSL的清理和维护工作。该库作为OpenSSL库子集的轻量级封装，其对象方法多数直接调用底层OpenSSL函数。

开发者工具增强

Homebrew-core 是Homebrew默认tap的核心仓库，包含大量软件包及其安装配方。应用安全工程师Emilio Lopez通过提交多个PRs，新增或更新了包括crytic-compile、solc-select、Caracal等ToB开发工具的配方，用户现在可通过简单的brew install命令安装这些工具。

Ghidra 作为美国国家安全局研发的软件逆向工程（SRE）框架，为Windows/macOS/Linux提供反汇编、反编译和脚本等高级代码分析工具。我们修复了大量bug以增强其功能，特别是支持DARPA AMP（Assured Micropatching）计划的工作。

开源协作的完整生命周期

我们深知提交PR仅是开源体验的一小部分——代码需要被审查、合并后需要持续维护，早期PR提交者还需编写测试以保证功能稳定性。这些贡献既源于对技术的热爱，也因这些项目本身的价值。我们由衷感谢开源社区，并祝愿大家2024年高效、安全且愉快！

（完整贡献列表详见原文技术项目部分，包含AI/ML、密码学、编译器、区块链等领域的详细PR记录）