【问题标题】:Downloaded git, what about security of installation?下载了git,安装的安全性怎么样?
【发布时间】:2020-09-03 05:21:43
【问题描述】:

已下载 Git-2.28.0-64-bit**.exe**。 我习惯在安装之前检查一些下载的哈希值。 据我了解,这将降低伪造 URL 和一些中间人攻击的风险。

但我找不到 .exe 的 SHA512 或类似值。 我可以简单地信任 git 下载吗?

【问题讨论】:

    标签: git security download


    【解决方案1】:

    那是 requested before(供 Github 在其发布资产旁边提供 sha256 校验和),但目前尚不可用。

    一些项目正在添加代表校验和的附加资产,如coreybutler/nvm-windows releases tag 1.1.7

    Git for Windows releases 为其所有版本添加 SHA-256 表:

    Git-2.28.0-32-bit.exe   9b83b16f1d73212492f21d9bffe41c4b5ce8393a356af96bf8271652c04dfe8f
    

    因此您可以通过这种方式控制下载的工件的完整性。

    并且,作为mentioned here,这些exe也被签名,这意味着您可以使用SignTools.exe来检查该签名。

    【讨论】:

      猜你喜欢
      • 2017-01-08
      • 2011-02-04
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-07-14
      • 1970-01-01
      • 2014-01-23
      • 1970-01-01
      相关资源
      最近更新 更多