下载git,安装的安全性如何?
Downloaded git, what about security of installation?
已下载 Git-2.28.0-64 位**.exe**。
我习惯于在安装之前检查下载的一些哈希值。
据我所知,这会降低伪造 URL 和一些中间人攻击的风险。
但我找不到 .exe 的 SHA512 或类似值。 我可以简单地相信 git 下载吗?
那是 (为了 Github 提供 sha256 校验和及其发布资产),但这还不可用。
一些项目正在添加表示校验和的附加资产,如 coreybutler/nvm-windows releases tag 1.1.7
Git for Windows releases 为其所有版本添加 SHA-256 table:
Git-2.28.0-32-bit.exe 9b83b16f1d73212492f21d9bffe41c4b5ce8393a356af96bf8271652c04dfe8f
因此您可以通过这种方式控制下载的工件的完整性。
并且,作为 , those exe are signed as well, which means you can use SignTools.exe 检查该签名。
已下载 Git-2.28.0-64 位**.exe**。 我习惯于在安装之前检查下载的一些哈希值。 据我所知,这会降低伪造 URL 和一些中间人攻击的风险。
但我找不到 .exe 的 SHA512 或类似值。 我可以简单地相信 git 下载吗?
那是
一些项目正在添加表示校验和的附加资产,如 coreybutler/nvm-windows releases tag 1.1.7
Git for Windows releases 为其所有版本添加 SHA-256 table:
Git-2.28.0-32-bit.exe 9b83b16f1d73212492f21d9bffe41c4b5ce8393a356af96bf8271652c04dfe8f
因此您可以通过这种方式控制下载的工件的完整性。
并且,作为