作为 macOS、Linux 平台主流、装机量最高的开源包管理器，Homebrew 在 6 月 11 正式推出里程碑式大版本 6.0.0。

本次迭代并不是小修小补，而是围绕安全防护、底层架构重构、运行性能、实用新功能四大方向深度改造。

其中第三方 Tap 信任授权体系改动影响整个生态规则，彻底补齐长期存在的供应链安全短板，同时大量底层重构带来肉眼可见的运行提速，无论个人开发者还是服务器运维人员都值得重点升级。

接下来，我们就来详细描述。

第三方Tap显式信任机制上线，从根源遏制供应链风险

很多开发者习惯通过 brew tap 添加第三方软件仓库，以此安装官方源没有的工具、定制版程序。在 6.0.0 版本之前，Homebrew 存在一个隐性安全隐患：只要执行添加仓库命令，程序就会自动扫描、解析该 Tap 内所有软件包信息。

哪怕只是随手添加一个来源不明、从未核验的陌生第三方仓库，后台也会静默完成批量解析预处理，不仅无端占用磁盘与网络资源，一旦仓库被投毒植入恶意脚本，极易在用户毫无感知的情况下触发供应链攻击。

新版彻底重构这套逻辑，引入Tap 主动信任授权机制：第三方仓库添加完成后默认处于未信任状态，不会自动解析内部任何软件包。用户必须手动执行授权命令完成显式信任，Homebrew 才会加载、处理该仓库内公式。

看似只是一步操作变更，实则在包管理器层面做了权责拆分，把「添加仓库」和「信任执行代码」两个行为彻底割开，避免新手误操作踩坑，从源头大幅降低第三方源带来的恶意入侵隐患，也是本次大版本最核心的安全升级。

底层架构切换：JSON API全面替代YAML，解析效率大幅优化

Homebrew 长期依靠 YAML 文件存储预编译二进制包（bottle）的元数据，用来匹配系统架构、版本、下载地址。6.0.0 完成底层基建迁移，默认启用全新内部 JSON API，全面淘汰原有 YAML 解析逻辑。

对普通终端用户而言，最直观的变化就是软件包信息刷新更快，本地解析、校验包信息的运算开销明显下降，安装、更新软件时等待时间进一步缩短。

而对于广大第三方 Tap 维护者来说，这是一次生态适配工作：后续自建仓库需要同步提供 JSON 格式 bottle 配置，不能再仅依靠旧式 YAML 配置。短期会产生少量适配摩擦，但 JSON 格式在 CI/CD 自动化流水线里兼容性更强，更适配现代自动化打包、分发流程，长期更利于第三方生态规范化运转。

Linux 沙箱对齐 macOS 安全策略，Bubblewrap筑牢系统防护

长久以来，Homebrew 在 Linux 与 macOS 两端安全运行模型并不统一，权限管控力度参差不齐。6.0.0 借助业界成熟的轻量级命名空间沙箱工具 Bubblewrap，完成两端安全规则对齐。

自此 Linux 环境下 Homebrew 默认遵循最小权限原则运行程序，主动限制应用随意读写系统关键目录。Bubblewrap 也是 Flatpak 等主流 Linux 应用分发方案的底层依赖，成熟度经过行业验证。

即便后续通过 Homebrew 安装的程序存在漏洞、恶意代码，其访问系统资源的范围也会被沙箱严格约束，很难横向渗透破坏整机环境，对于大量使用 Homebrew 做服务器运维、线上环境部署的工程师，是至关重要的被动安全加固。

实用新功能集中落地，开发效率再上一个台阶

1）全新 brew exec 命令，对标 npx 轻量化运行工具

本次新增 brew exec 指令，设计逻辑对标 Node.js 生态的 npx。可以直接调用已安装的程序运行，无需手动修改、污染全局 PATH 环境变量。

针对多项目工具版本隔离、临时调用小众命令行程序的场景格外友好，不用来回配置环境变量，也不会造成全局工具版本冲突，补齐了 Homebrew 长期缺失的临时运行能力。

2）brew bundle 支持并行批量安装

过往使用 Brewfile 批量还原开发环境时，软件包只能串行逐个下载安装，重装新机、初始化团队开发环境耗时漫长。新版本加入并行下载、并行安装调度逻辑，大批量部署环境整体耗时大幅压缩，运维、前端后端团队批量配环境效率显著提升。

前瞻适配与生态扩展

提前完成下一代 macOS 27 兼容性适配，在苹果正式推送新版本之前完成兼容铺垫，后续系统更新后无需等待 Homebrew 同步适配；同时新增 npm、krew 插件原生集成，Linuxbrew 用户可在 Homebrew 统一入口管理 npm 包、Kubernetes 插件，多类工具收纳在同一套管理体系，不用切换多款包管理器。

三处高危安全漏洞集中修复

本次更新同步封堵三个历史安全漏洞，也是 Tap 信任机制推出的重要背景：

1. HTTPS 重定向绕过漏洞：攻击者可通过中间人劫持，诱导 Homebrew 跳转至恶意下载服务器篡改程序包；

2. Git Hooks 提权执行漏洞：被入侵的恶意第三方 Tap，可借助 Git Hooks 机制在不知情的前提下以 root 权限执行恶意代码；

3. 一处未公开细节的第三方供应链安全缺陷。

接连爆出的漏洞也印证：即便是普及率极高的老牌包管理器，第三方源始终是风险高发区，本次信任机制改造精准补齐对应短板。

细节性能优化，日常高频使用更顺滑

除大型功能改动之外，版本附带多处精细化提速优化：

- brew leaves 命令执行速度提升约 30%，快速查看孤立无用依赖更快捷；

- 优化 Ruby 库加载逻辑，缩短 Homebrew 整体冷启动耗时，频繁敲 brew 指令感知明显。

同时官方标记部分老旧环境变量即将废弃，并且敲定规划：2026 年 9 月起，Intel 架构 macOS 降级为三级支持梯队，后续会逐步缩减老旧 x86 硬件适配投入，研发资源向 Apple Silicon、主流 Linux 发行版倾斜。

Homebrew 6.0.0 升级 & 新版功能实操命令清单

为方便开发者快速完成升级、适配新版安全规则，以下整理可直接复制执行的全套实操命令，适配 macOS / Linux 全平台。

1. 一键升级最新正式版

brew updatebrew upgradebrew cleanup

2. 新版核心：第三方 Tap 信任授权操作

6.0.0 新增强制信任机制，未信任的 Tap 无法正常读取、安装包，常用管理指令如下：

# 信任指定第三方 tap

brew tap --trust 用户名/仓库名
# 查看当前所有已信任/未信任 tap 状态

brew tap-info


# 查看信任列表详情（JSON 格式）

brew trust --json=v1

3. 新功能 brew exec 用法（替代手动改 PATH）

# 直接运行已安装工具，不污染全局环境

brew exec 工具名 参数

4. Brewfile 并行还原环境（新版提速核心用法）

# 导出当前环境依赖（自动记录已信任 tap）

brew bundle dump
# 并行批量安装还原所有依赖（默认自动并行执行）

brew bundle install

5. 性能优化常用检测指令

# 快速查询无用孤立依赖（速度提升30%）

brew leaves
# 检测当前 brew 环境状态、系统适配情况

brew doctorbrew config

结语

Homebrew 6.0.0 是一次「安全打底、架构升级、体验提速」的质变版本，尤其是 Tap 显式信任机制，从根本解决了多年供应链安全隐患，配合 Linux 沙箱加固、JSON 底层重构与并行安装能力，大幅适配现代开发、服务器运维与自动化部署场景。

建议所有开发者尽快升级适配。

作者：场长

来源：

https://brew.sh/2026/06/11/homebrew-6.0.0