Yoo趣儿 › 探索分享 › 问与答 › 你们下载开源软件的时候，会不会验证 gpg 签名？ ...

你们下载开源软件的时候，会不会验证 gpg 签名？

查看 173|回复 5

作者：chenjia404 发布时间：2023-7-10 20:09:01

我自己现在所有发布的开源软件，都会加上 gpg 签名，尤其是现在很多使用 GitHub 镜像，这个中间人劫持是有可能的。

gpg, 开源, 签名, GitHub

相关帖子

lhbc 2023-7-10 20:09:54

怎么确保 gpg 签名文件没被替换？
还是从官网和 GitHub 直接下载吧
说实话，GitHub 上的二进制，不是 GitHub Actions 构建和发布的都不一定可信

chenjia404

2023-7-10 20:10:40

@lhbc #1 gpg 签名可以看到发布者啊，验签的时候可以看到指纹，信息不对就是假的。Linux 包就是依赖 gpg 签名，基本上大家都是用的镜像，然后验证签名对不对。

aaniao002 2023-7-10 20:11:37

https 直接下下来的东西，如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事？

chenjia404

2023-7-10 20:12:22

@aaniao002 #3 如果是 GitHub 直接下载问题不大，如果是镜像就要注意了，之前 xcode 就是案例。

Trim21 2023-7-10 20:12:57

不用 github 镜像，所以一般也不验证...

返回列表

公告

返回顶部

你们下载开源软件的时候，会不会验证 gpg 签名？

相关帖子

浏览过的版块

热门主题

求推荐 300 价位电视盒子

[分享] 纯前端撸了一个「交互式哺乳动物演

她说离婚原因是男的挣不到钱

这是缅北开发的游戏…

短视频里，高速现在都开始堵车了啊，大家都

百度统计或者cnzz的数据，来源分析，直接访

必应移动端有流量的吗？

发现了很多这种后缀的的百度收录，是怎么做

我看那个huoban网站权重被百度干没了。。。

按 Ctrl 好累？我不是一个人吧

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿投放广告

Yoo趣儿网站用户应遵守规则

你们下载开源软件的时候，会不会验证 gpg 签名？

相关帖子

浏览过的版块

热门主题

求推荐 300 价位电视盒子

[分享] 纯前端撸了一个「交互式哺乳动物演

她说离婚原因是男的挣不到钱

这是缅北开发的游戏…

短视频里，高速现在都开始堵车了啊，大家都

百度统计或者cnzz的数据，来源分析，直接访

必应移动端有流量的吗？

发现了很多这种后缀的的百度收录，是怎么做

我看那个huoban网站权重被百度干没了。。。

按 Ctrl 好累？我不是一个人吧

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿 投放广告

Yoo趣儿网站用户应遵守规则

在 Yoo趣儿投放广告