首页
论坛
Yoo趣儿
›
探索分享
›
问与答
›
你们下载开源软件的时候,会不会验证 gpg 签名? ...
你们下载开源软件的时候,会不会验证 gpg 签名?
查看
163
|
回复
5
作者:
chenjia404
发布时间:2023-7-10 20:09:01
我自己现在所有发布的开源软件,都会加上 gpg 签名,尤其是现在很多使用 GitHub 镜像,这个中间人劫持是有可能的。
gpg
,
开源
,
签名
,
GitHub
相关帖子
•
开源了一个目录网站模板 Nuxt_Mkdirs,基于 Nuxt 4,求反馈
•
开源了一个无云端存储的公众号 Markdown 编辑器,欢迎大家拍砖
•
[Vole] 我开发了一款 V2EX 的 iOS app [开源免费]
•
类似于 v0.app 这样的 AI 生成 React 组件的 AI Agent 有什么开源或者支持本地化部署的方案吗?
•
github十次有九次打不开
•
微博开源Vibe Thinker:15亿参数击败DeepSeek R1,后训练成本仅7800美元
•
小众瞩目的 Blog 开源来咯
•
有深度使用 Github Copilot 的小哥吗?
•
做了个多语言的 Github 仓库分析工具,几分钟助你快速掌握一个开源项目
•
我的热榜站 100%全面开源啦,欢迎佬们体验
lhbc
2023-7-10 20:09:54
怎么确保 gpg 签名文件没被替换?
还是从官网和 GitHub 直接下载吧
说实话,GitHub 上的二进制,不是 GitHub Actions 构建和发布的都不一定可信
chenjia404
OP
2023-7-10 20:10:40
@lhbc #1 gpg 签名可以看到发布者啊,验签的时候可以看到指纹,信息不对就是假的。Linux 包就是依赖 gpg 签名,基本上大家都是用的镜像,然后验证签名对不对。
aaniao002
2023-7-10 20:11:37
https 直接下下来的东西,如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事?
chenjia404
OP
2023-7-10 20:12:22
@aaniao002 #3 如果是 GitHub 直接下载问题不大,如果是镜像就要注意了,之前 xcode 就是案例。
Trim21
2023-7-10 20:12:57
不用 github 镜像,所以一般也不验证...
返回列表
您需要登录后才可以回帖
登录
|
立即注册
发表回复
浏览过的版块
二手交易
Windows
服务器
社会资讯
Google
Android
HarmonyOS
优惠信息
搜索
热门主题
数学好是什么概念
这可能是下一个周经帖:国产大模型哪个编程
你会在苹果设备登录 icloud 吗?
请问下香港汇丰银行入金美金 IBKR 的方案
分享一个外区 ID 奇迹解封的经历
北京东直门打车去首都机场被滴滴司机抱怨不
虚拟机装 NAS 备份 iPhone 相册靠谱吗
服务器 b.niupilao.vip 恶意请求如何解决?
改了改去年的一个项目, AI 生成图片书~
总觉得联通信号很差想转移动了
热门板块
问与答
分享发现
分享创造
奇思妙想
分享邀请码
商业推广
优惠信息
Python
PHP
Java
JavaScript
Node.js
Go语言
C++
HTML
公告
网站帮助 - Yoo趣儿
2022-03-27
我们的愿景
2022-03-27
在 Yoo趣儿 投放广告
2022-03-27
Yoo趣儿网站用户应遵守规则
2022-03-24
返回顶部
