Überprüfung der Unterschrift durch das Tool Cosign:
- Laden Sie die Freigabedatei herunter (z. B.
checksums.txt) und ihre Signaturdokumente (.sigim Gesang antworten.pem) - Führen Sie den Befehl verify aus:
cosign verify-blob --certificate-identity 'https://github.com/charmbracelet/meta/.github/workflows/goreleaser.yml@refs/heads/main' --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' --cert checksums.txt.pem --signature checksums.txt.sig ./checksums.txt - Wenn die Ausgabe
Verified OKZeigt an, dass das Dokument nicht verfälscht wurde.
Dieser Validierungsmechanismus verwendet die OIDC-Tokens von GitHub Actions, um sicherzustellen, dass die Zertifikatskette von einem vertrauenswürdigen Build-Prozess stammt.
Diese Antwort stammt aus dem ArtikelCrush: KI-Programmierassistent für Endgeräte mit integrierter LSP- und Multimodell-UmschaltungDie
Darf nicht ohne Genehmigung vervielfältigt werden:KI-Produktivitätswerkzeuge " Wie kann ich die Sicherheit der Crush-Installationsdateien überprüfen?
