程式碼簽署 Linux 套件

本指南提供有關 Linux 套件程式碼簽署的資訊。

需求

• gpg 或 gpg2

必須準備簽署金鑰。可以使用下列方式產生新的金鑰

gpg2 --full-gen-key

有關其他資訊，請參閱 gpg 或 gpg2 文件。您應特別小心，將您的私人和公開金鑰備份到安全的位置。

AppImage 簽署

您可以透過設定下列環境變數，將簽章嵌入 AppImage 中

• SIGN：設為 1 以簽署 AppImage。
• SIGN_KEY：選用變數，用於簽署特定 GPG 金鑰 ID。
• APPIMAGETOOL_SIGN_PASSPHRASE：簽署金鑰密碼。如果未設定，gpg 會顯示對話框讓您輸入。執行自動化任務時，您必須設定此項。

您可以執行下列指令，顯示嵌入在 AppImage 中的簽章

./src-tauri/target/release/bundle/appimage/$APPNAME_$VERSION_amd64.AppImage --appimage-signature

請注意，您需要根據您的組態，將 $APPNAME 和 $VERSION 值變更為正確的值。

簽章未驗證

AppImage 沒有驗證簽章，因此您無法依賴它來檢查檔案是否遭到竄改。若要驗證簽章，您必須為您的使用者提供外部工具。有關其他資訊，請參閱 官方 AppImage 文件。