logo标签列表

从GitHub发布中获取MD5哈希值的方法在哪里?

c++githubcmakemd5
23

我想要获取这里的tar.gz GitHub发布版本的MD5哈希值: https://github.com/jbeder/yaml-cpp/releases

想在我的CMake中使用它。有人知道我可以在哪里获取吗?我在Google上没有找到太多解决方案。

1
有没有理由不直接下载文件并自己计算呢?请注意,CMake中MD5检查的主要目的是确保服务器上的文件仍然是您期望的相同文件(即它没有在服务器上或传输到您的计算机时被更改)。考虑到您可能不会经常更新此类外部依赖项,这对我来说似乎是一个完全可以接受的解决方案。 - ComicSansMS
2
@ComicSansMS 你说得对,那确实是主要目的。但是,在下载后自己计算如何确保它“在传输到您的计算机时没有被更改”? - VertigoRay
@VertigoRay 这取决于你在这里试图防范什么。通过 https 下载应该可以消除任何中间人攻击的情况,而数据损坏是现在相当不可能发生的事情(甚至更不可能被忽略)。如果你真的很偏执,你可以随时将下载的源代码与相应的 git 版本进行比较(git 通过 SHA-1 进行安全保护)。但在我看来,你需要一个非常好的理由来证明这种程度的偏执是有道理的。 - ComicSansMS
@ComicSansMS 我完全同意。如果你想要防止中间人攻击,https 应该 保护你[1]。如果它没有保护你,那么从相同位置提取MD5哈希值也无济于事。;) 至于你的第二个解决方案,我不确定如何在不使用git的情况下计算多个文件的哈希值...有趣.../耸肩*([1]: 如果你启用了自动检测代理设置,很容易遭受中间人攻击并获得有效的https证书。)* (注意: 我只是觉得你原来的评论缺乏后来评论中提供的细节。:beers:) - VertigoRay
2个回答
16

正如VertigoRayhis answer中建议的那样,我给GitHub发送了电子邮件,地址是support@github.com。

主题:建议:显示每个版本的校验和

例如,我想从https://github.com/vim/vim/releases下载一个版本。

每个版本旁边不应该显示sha256校验和吗?

另请参见:Where to get MD5 hashes from a GitHub release?

他们在40分钟内回复了我的邮件,感谢我的反馈,并告诉我他们已将我的+1添加到他们的内部功能请求列表中。

如果您也想添加您的+1,请随时将我的电子邮件发送给GitHub。

15
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接