使用Bintray下载感到安全
通过
2分钟阅读
更新:从2021年5月1日起,Bintray服务将不再可用(ConanCenter和JCenter不受影响),欲了解更多信息,请阅读Centers弃用博客
还记得我们对。asc文件的看法?问题是,数字证书本身并不能保证某人的身份。要完全信任某人,需要有一个可靠的信任网络(WoT),让签名者毫无疑问地是他所声称的人。
那么解决方案是什么呢?使用Bintray作为分散的信任源进行验证作者的公开网络身份为了证明他是你想的那个人。一旦可以识别这个标识,就可以使用它来决定用户是否签名了软件包,以及您将要下载的软件包是否值得信任。
但什么是“网络身份”,你如何信任它?如果我们谈论的是开发人员,那很可能是他们的推特账户,GitHub帐户(也许其他人也喜欢谷歌+,Bitbucket都等)。你怎么能确定作者列出的资料不是假的呢?通过使用OAuth。
你可以授权你的Bintray配置推特,GitHub而且谷歌+并让你的用户相信他们下载的文件来自你声称的那个人:
一旦你的个人资料被授权(已授权的个人资料在你的Bintray作者页面上带有复选框,如下面的截图所示),你的存储库和包的用户可以通过在社交网络中查看你的页面来验证你的身份。
我们,在JFrog相信信息就是力量,你对图书馆及其作者了解得越多,你就能更好地决定是否信任他们!
