1

有时当我从 repo 下载压缩的 tgz 文件以从源代码构建时,我会看到这句话

Foo 是 gpg 签名的,您应该通过下载随附的 sig 文件并执行 gpg --verify foo.tgz.sig 来检查签名。

问题是为什么要打扰?如果我从他们的官方网站或github页面下载文件,我还需要验证签名吗?如果我不这样做,会出现什么可怕的问题?

4

0 回答 0