Linux 程式碼簽署

本指南提供 Linux 套件程式碼簽署的相關資訊。雖然在 Linux 上部署應用程式並非必要進行產物簽署，但簽署可以增加使用者對您已部署應用程式的信任。簽署二進制檔案能讓您的終端使用者驗證這些檔案是否為真品，且未經其他不受信任的實體修改。

AppImage 簽署

AppImage 可以使用 gpg 或 gpg2 簽署。

先決條件

必須準備用於簽署的金鑰。可以使用以下指令產生新的金鑰

gpg2 --full-gen-key

有關更多資訊，請參閱 gpg 或 gpg2 文件。您應格外小心，將您的私鑰和公鑰備份到安全的位置。

簽署

您可以透過設定以下環境變數，將簽名嵌入到 AppImage 中

• SIGN：設定為 1 以簽署 AppImage。
• SIGN_KEY：選用變數，用於指定用於簽署的 GPG 金鑰 ID。
• APPIMAGETOOL_SIGN_PASSPHRASE：簽署金鑰密碼。如果未設定，gpg 將顯示一個對話框讓您輸入密碼。在 CI/CD 平台上建置時，您必須設定此變數。
• APPIMAGETOOL_FORCE_SIGN：預設情況下，即使簽署失敗，也會產生 AppImage。若要在發生錯誤時終止，您可以將此變數設定為 1。

您可以透過執行以下命令，顯示嵌入在 AppImage 中的簽名

./src-tauri/target/release/bundle/appimage/$APPNAME_$VERSION_amd64.AppImage --appimage-signature

請注意，您需要根據您的設定，將 $APPNAME 和 $VERSION 值更改為正確的值。

注意

簽名未經驗證

AppImage 不會驗證簽名，因此您不能依賴它來檢查檔案是否遭到竄改。使用者必須使用 AppImage 驗證工具手動驗證簽名。這要求您在經過身份驗證的管道（例如透過 TLS 提供的網站）上發布您的金鑰 ID，以便終端使用者可以檢視和驗證。

有關更多資訊，請參閱官方 AppImage 文件。

驗證簽名

AppImage 驗證工具可以從這裡下載。選擇 validate-$PLATFORM.AppImage 檔案之一。

執行以下命令來驗證簽名

chmod +x validate-$PLATFORM.AppImage
./validate-$PLATFORM.AppImage $TAURI_OUTPUT.AppImage

如果簽名有效，輸出將為

Validation result: validation successful
Signatures found with key fingerprints: $KEY_ID
====================
Validator report:
Signature checked for key with fingerprint $KEY_ID:
Validation successful