文件名称:rpfl:一个通用的分布式包验证系统
文件大小:526KB
文件格式:ZIP
更新时间:2024-06-22 03:18:11
Java
##名称 rpfl 不是缩写,也没有特别代表,尽管欢迎提出建议。 这就是德国上弗兰克尼亚某些地区的人们如何发音“erdapfel”(土苹果 -> 马铃薯)。 ##合理的 所有主要的软件包系统都实施了供应商签名验证,以防止安装恶意软件。 但是,这些系统仍然要求您信任单一方,即包的签名者,并接受要安装的二进制 blob。 这意味着,一旦恶意的第三方掌握了签名者的私钥,它就可以通过中间人攻击在您的系统上安装任意代码。 rpfl 通过“分布式验证”规避了这些问题。 通常,rpfl 会从多个来源下载验证数据,以避免依赖单个“受信任的第三方”。 rpfl 是一个通用的包验证 api,可以集成到各种包管理系统中,例如 maven、yum、apt 等等。 它由一个服务器部分组成,该部分提供一个端点,该端点将获取存储库 URL 列表并返回这些包的验证数据。 ##条款 ###存储库网址 存储库 url 可