首页
论坛
Yoo趣儿
›
探索分享
›
问与答
›
你们下载开源软件的时候,会不会验证 gpg 签名? ...
你们下载开源软件的时候,会不会验证 gpg 签名?
查看
206
|
回复
5
作者:
chenjia404
发布时间:2023-7-10 20:09:01
我自己现在所有发布的开源软件,都会加上 gpg 签名,尤其是现在很多使用 GitHub 镜像,这个中间人劫持是有可能的。
gpg
,
开源
,
签名
,
GitHub
相关帖子
•
小鸡别闲着。一个 PHP 文件实现的类 nodeseek 论坛!免费开源!单文件 100 KB 的 PHP 论坛发布!欢迎安装测试。
•
模型变小,能力不减:新浪VibeThinker-3B 开源,AI 推理迎来“轻量化”新思路
•
终端工作区:从 WindTerm 到 NyaTerm
•
udp放大攻击带宽,和syn和cc,主流就这几种,没有编程技术,来开源脚本就行
•
PDF阅读工具 SumatraPDF v3.6.1/3.7.18930-prerel
•
做一个 “小而美” 的日记
•
关于项目管理系统的选择,有什么推荐的吗?
•
我做了一个飞书多维表格/钉钉 AI 表格的简单替代品
•
Grok 自己的 skills 分享
•
大家 GitHub 的 Dashboard 的 Feed 还更新内容么?
lhbc
2023-7-10 20:09:54
怎么确保 gpg 签名文件没被替换?
还是从官网和 GitHub 直接下载吧
说实话,GitHub 上的二进制,不是 GitHub Actions 构建和发布的都不一定可信
chenjia404
OP
2023-7-10 20:10:40
@lhbc #1 gpg 签名可以看到发布者啊,验签的时候可以看到指纹,信息不对就是假的。Linux 包就是依赖 gpg 签名,基本上大家都是用的镜像,然后验证签名对不对。
aaniao002
2023-7-10 20:11:37
https 直接下下来的东西,如果不报证书问题我不会验。话说 apt 源有一段时间大量包证书错误是怎么回事?
chenjia404
OP
2023-7-10 20:12:22
@aaniao002 #3 如果是 GitHub 直接下载问题不大,如果是镜像就要注意了,之前 xcode 就是案例。
Trim21
2023-7-10 20:12:57
不用 github 镜像,所以一般也不验证...
返回列表
您需要登录后才可以回帖
登录
|
立即注册
发表回复
搜索
热门主题
Think Matrix —— 一个多模型 AI 工作台,
Agent Loop 深度调研:把决定权交给模型的
垂直小论坛 改版成功了 给力bbs.gaoliangse
心血来潮写了一个游览器,离线版,学习使用
最近发现一个挺上头的小游戏系列: Escape
pdf2any 文字版 PDF 转 md,html,docx,表格
推荐几个cps联盟给大家,希望大家都能赚到
一个连收录都没有的站都会被盯上?
TransOne: macOS 原生菜单栏翻译工具
2026 开一个公司,经验分享篇
热门板块
问与答
分享发现
分享创造
奇思妙想
分享邀请码
商业推广
优惠信息
Python
PHP
Java
JavaScript
Node.js
Go语言
C++
HTML
公告
网站帮助 - Yoo趣儿
2022-03-27
我们的愿景
2022-03-27
在 Yoo趣儿 投放广告
2022-03-27
Yoo趣儿网站用户应遵守规则
2022-03-24
返回顶部