使用Bintray下载感到安全
通过
2分钟阅读
更新:自2021年5月1日起,Bintray服务将不再可用(ConanCenter和JCenter不受影响)中心弃用博客
还记得我们对。asc文件的看法?问题是,数字证书本身并不能保证某人的身份。要完全信任某人,需要有一个可靠的信任网络(WoT),让签名者的身份毋庸置疑。
那么解决方案是什么呢?使用Bintray作为分散的信任源来验证作者的公开网络身份为了证实他是你想的那个人。一旦识别出这个身份,就可以使用它来确定用户已签名的包以及您将要下载的包是否值得信任。
但什么是“网络身份”,你又该如何信任它呢?如果我们谈论的是开发者,那很可能是他们的推特账户,GitHub帐户(和,也许其他人喜欢谷歌+,Bitbucket都等)。你怎么能确定作者的个人资料不是假的呢?使用OAuth。
您可以授权您的Bintray配置文件推特,GitHub和谷歌+让你的用户相信他们下载的文件来自你声称的人:
一旦您的个人资料获得授权(授权的个人资料在您的Bintray作者页面上有明确的复选框标记,如下面的截图所示),您的存储库和包的用户可以通过在社交网络中浏览您的页面来验证您的身份。
我们,在JFrog,相信信息就是力量,你对图书馆和他们的作者了解得越多,你就能更好地决定是否相信他们!
