使用GPG验证包
MongoDB发布团队对MongoDB Compass包进行数字签名,以证明包是有效的MongoDB发布版本。在您安装MongoDB Compass之前,您可以使用数字签名来验证该包。
此页描述了如何使用GPG验证包。
开始之前
如果您尚未安装MongoDB Compass,请从MongoDB Compass下载中心下载.
步骤
1
导入MongoDB Compass公钥
curl https://pgp.mongodb.com/compass.asc | gpg --import
如果公钥导入成功,命令会返回
gpg: key CEED0419D361CB16: public key "MongoDB Compass Signing Key <compass@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
如果您之前已经导入过该密钥,命令会返回
gpg: key A8130EC3F9F5F923: "MongoDB Compass Signing Key <compass@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
2
下载MongoDB Compass公共签名
要下载MongoDB Compass公共签名,请访问GitHub上的Compass版本发布页面,并下载相应的.sig文件。
例如,如果您下载了mongodb-compass-1.44.5-darwin-x64.zip存档,请下载mongodb-compass-1.44.5-darwin-x64.zip.sig签名文件。
注意
在下载签名时,请确保在GitHub版本发布页面选择正确的版本。
3
验证包
gpg --verify <path_to_signature_file> <path_to_compass_archive>
如果该包由MongoDB签名,则命令返回
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: Good signature from "MongoDB Compass Signing Key <compass@mongodb.com>" [unknown]
如果该包已签名但签名密钥未添加到您的本地trustdb,则命令返回
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
如果该包未正确签名,则命令返回错误消息
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "MongoDB Compass Signing Key <compass@mongodb.com>" [unknown]