Yoo趣儿

Yoo趣儿 探索分享 问与答 你们下载开源软件的时候,会不会验证 gpg 签名? ...

你们下载开源软件的时候,会不会验证 gpg 签名?

查看 61|回复 5
作者:chenjia404   
我自己现在所有发布的开源软件,都会加上 gpg 签名,尤其是现在很多使用 GitHub 镜像,这个中间人劫持是有可能的。

gpg, 开源, 签名, GitHub

相关帖子

lhbc   
怎么确保 gpg 签名文件没被替换?
还是从官网和 GitHub 直接下载吧
说实话,GitHub 上的二进制,不是 GitHub Actions 构建和发布的都不一定可信
chenjia404
OP
  
@lhbc #1 gpg 签名可以看到发布者啊,验签的时候可以看到指纹,信息不对就是假的。Linux 包就是依赖 gpg 签名,基本上大家都是用的镜像,然后验证签名对不对。
aaniao002   
https 直接下下来的东西,如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事?
chenjia404
OP
  
@aaniao002 #3 如果是 GitHub 直接下载问题不大,如果是镜像就要注意了,之前 xcode 就是案例。
Trim21   
不用 github 镜像,所以一般也不验证...
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-9-20 05:22 , Processed in 0.130098 second(s), 13 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部