rubygems-openpgp软件保障为确保任何软件包的有效性,您需要:
-
通过验证文件的校验和来验证包没有被损坏或恶意篡改。
-
通过验证校验和的数字签名来验证校验和未被篡改。
-
通过验证用于生成数字签名的公钥来验证数字签名是否由包的发布者生成。
如果你不能这样做,你就无法验证包的完整性。
此gem允许使用OpenPGP对Ruby gem进行加密签名,而不是当前涉及X.509的内置签名方法。这是我在进行的闪电演讲的一部分。
先决条件:需要安装gpg并确保其工作正常。需要OpenPGP私钥来签署gems,但不需要验证签名。
签名示例:
gem build openpgp_signed_hola.gemspec --sign
gem push openpgp_signed_hola-0.0.0.gem
验证示例:
在rubygems.org上有一个测试gem。
暂无评论