首页
论坛
Yoo趣儿
›
探索分享
›
问与答
›
你们下载开源软件的时候,会不会验证 gpg 签名? ...
你们下载开源软件的时候,会不会验证 gpg 签名?
查看
200
|
回复
5
作者:
chenjia404
发布时间:2023-7-10 20:09:01
我自己现在所有发布的开源软件,都会加上 gpg 签名,尤其是现在很多使用 GitHub 镜像,这个中间人劫持是有可能的。
gpg
,
开源
,
签名
,
GitHub
相关帖子
•
同样 3 个任务, Codex 12.5 美金、我们 4.5 美金,质量还打平 Claude Code —— 开源 Agent 满月战报
•
🎙️ MaxSpeak — 开源免费的 AI 语音合成工作台, 300+ 音色 / 音色复刻 / 音色设计 MINIMAX 接口
•
clash for windows 推 github 正常, clash verge 就不行,设置都是一样,机场也是一家
•
失业半年,结束十年北漂,回老家躺平一个多月了
•
MiMo-Code 开源发布,缝合了 opencode + openclaw(MiMo Auto(限时免费) — 匿名通道,零配置
•
[开源求个免费的 star!] V2EX Max Helper 发布!完全开源的 V2EX 一站式自动助手:每日签到 + 自动阅读刷活跃度 + Telegram Bot 上报/远程控制,自动保活。支持 agent 辅助部署!
•
GitHub 又挂了……
•
GitHub 挂了么?
•
Wolf RBAC 五年来最重要的更新: 40 刀 vibe coding,给开源权限系统接了个 AI Agent
•
[实时数字人开源项目] 重磅更新!实时数字人支持视频克隆模式!
lhbc
2023-7-10 20:09:54
怎么确保 gpg 签名文件没被替换?
还是从官网和 GitHub 直接下载吧
说实话,GitHub 上的二进制,不是 GitHub Actions 构建和发布的都不一定可信
chenjia404
OP
2023-7-10 20:10:40
@lhbc #1 gpg 签名可以看到发布者啊,验签的时候可以看到指纹,信息不对就是假的。Linux 包就是依赖 gpg 签名,基本上大家都是用的镜像,然后验证签名对不对。
aaniao002
2023-7-10 20:11:37
https 直接下下来的东西,如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事?
chenjia404
OP
2023-7-10 20:12:22
@aaniao002 #3 如果是 GitHub 直接下载问题不大,如果是镜像就要注意了,之前 xcode 就是案例。
Trim21
2023-7-10 20:12:57
不用 github 镜像,所以一般也不验证...
返回列表
您需要登录后才可以回帖
登录
|
立即注册
发表回复
搜索
热门主题
不得不说wp做论坛纯粹是炫技
以前的chinaz站长论坛挺好看的 260可以模
为了用 Deepseek 写小说,我做了一个 AI 小
看看老外聊的啥,再看看你们每天聊的啥
Kimi K2.7 Code 发布了,有人已经替换 Clau
有什么好的方案?关于 win 和安卓手机之间
在 AI 盛行的今天我请教一个关于 ZooKeeper
c 真能比 Python 快这么多?
做了一个桌面效率小工具 DevFloat,欢迎体
你们有在微信里查看 Markdown 文件的需求吗
热门板块
问与答
分享发现
分享创造
奇思妙想
分享邀请码
商业推广
优惠信息
Python
PHP
Java
JavaScript
Node.js
Go语言
C++
HTML
公告
网站帮助 - Yoo趣儿
2022-03-27
我们的愿景
2022-03-27
在 Yoo趣儿 投放广告
2022-03-27
Yoo趣儿网站用户应遵守规则
2022-03-24
返回顶部
