Yoo趣儿 › 探索分享 › 问与答 › 你们下载开源软件的时候，会不会验证 gpg 签名？ ...

你们下载开源软件的时候，会不会验证 gpg 签名？

查看 115|回复 5

作者：chenjia404 发布时间：2023-7-10 20:09:01

我自己现在所有发布的开源软件，都会加上 gpg 签名，尤其是现在很多使用 GitHub 镜像，这个中间人劫持是有可能的。

gpg, 开源, 签名, GitHub

相关帖子

lhbc 2023-7-10 20:09:54

怎么确保 gpg 签名文件没被替换？
还是从官网和 GitHub 直接下载吧
说实话，GitHub 上的二进制，不是 GitHub Actions 构建和发布的都不一定可信

chenjia404

2023-7-10 20:10:40

@lhbc #1 gpg 签名可以看到发布者啊，验签的时候可以看到指纹，信息不对就是假的。Linux 包就是依赖 gpg 签名，基本上大家都是用的镜像，然后验证签名对不对。

aaniao002 2023-7-10 20:11:37

https 直接下下来的东西，如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事？

chenjia404

2023-7-10 20:12:22

@aaniao002 #3 如果是 GitHub 直接下载问题不大，如果是镜像就要注意了，之前 xcode 就是案例。

Trim21 2023-7-10 20:12:57

不用 github 镜像，所以一般也不验证...

返回列表

公告

返回顶部

你们下载开源软件的时候，会不会验证 gpg 签名？

相关帖子

热门主题

突然想到，测试驱动开发是不是有一个用处是

Surge 如何指定域名不使用 DNS 缓存

gname竟然不能访问了

兄弟们，SEO现在越来越简单化了

【2025】人在前面推，钱在后面追

老铁都是初几上班

你说话的底气来自你的经济实力

66个域名，批量建站等收录，也都配置了http

高速堵成狗，又开了十几个小时。。

《4414站长论坛：草根站长的生存手册与江湖

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿投放广告

Yoo趣儿网站用户应遵守规则

你们下载开源软件的时候，会不会验证 gpg 签名？

相关帖子

热门主题

突然想到，测试驱动开发是不是有一个用处是

Surge 如何指定域名不使用 DNS 缓存

gname竟然不能访问了

兄弟们，SEO现在越来越简单化了

【2025】人在前面推，钱在后面追

老铁都是初几上班

你说话的底气来自你的经济实力

66个域名，批量建站等收录，也都配置了http

高速堵成狗，又开了十几个小时。。

《4414站长论坛：草根站长的生存手册与江湖

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿 投放广告

Yoo趣儿网站用户应遵守规则

在 Yoo趣儿投放广告