Verificação de assinatura por meio da ferramenta Cosign:
- Faça o download do arquivo de versão (por exemplo.
checksums.txt) e seus documentos de assinatura (.sigresponder cantando.pem) - Execute o comando verify:
cosign verify-blob --certificate-identity 'https://github.com/charmbracelet/meta/.github/workflows/goreleaser.yml@refs/heads/main' --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' --cert checksums.txt.pem --signature checksums.txt.sig ./checksums.txt - Se a saída
Verified OKIndica que o documento não foi adulterado
Esse mecanismo de validação usa os tokens OIDC do GitHub Actions para garantir que a cadeia de certificados seja proveniente de um processo de criação confiável.
Essa resposta foi extraída do artigoCrush: assistente de programação de IA de endpoint com LSP integrado e comutação de vários modelosO
Não pode ser reproduzido sem permissão:Ferramentas de produtividade de IA " Como faço para verificar a segurança dos arquivos de instalação do Crush?
