对 Linux 软件包进行代码签名
本指南提供有关 Linux 软件包代码签名的信息。
所需条件
- gpg or gpg2
必须准备一个签名密钥。可以使用
gpg2 --full-gen-key
更多信息请参阅 gpg 或 gpg2 文档。您还应注意将私人和公开密钥备份到安全的位置。
为 AppImages 签名
您可以通过设置以下环境变量在 AppImage 中嵌入签名:
- SIGN: 设为
1时,AppImage 将签名。 - SIGN_KEY: 可选变量,用于使用特定的 GPG 密钥 ID 进行签名。
- APPIMAGETOOL_SIGN_PASSPHRASE: 签名密钥密码。如果未设置,gpg 会显示一个对话框让你输入密码。运行自动任务时必须设置。
运行以下命令即可显示嵌入 AppImage 的签名:
./src-tauri/target/release/bundle/appimage/$APPNAME_$VERSION_amd64.AppImage --appimage-signature
请注意,您需要根据配置更改 $APPNAME 和 $VERSION 值。
签名未经验证
AppImage 不会验证签名,因此你不能依靠它来检查文件是否被篡改。要验证签名,你必须为用户提供一个外部工具。有关更多信息,请参阅 AppImage 官方文档。