gpt4 book ai didi

nuget - 有没有办法对给定的 Nuget 包进行校验和?

转载 作者:行者123 更新时间:2023-12-04 10:06:23 25 4
gpt4 key购买 nike

我一直在寻找一种方法来检查文件是否未被篡改。 Nuget 包是否有校验和?

最佳答案

是的,NuGet 包确实有校验和。根据 this link , <packageId>.<packageVersion>.nupkg.sha512包含 .nupkg 文件本身的哈希值。由于在 nuget.org 上上传的包started being repo-signed a while ago ,还有一个名为 .nupkg.metadata 的单独文件包含应用签名本身之前文件的哈希值。

然而,包含上述 2 个哈希的文件是在从 nuget.org 检索 .nupkg 文件并由 NuGet 客户端安装后生成的,这使得无法检查下载的 .nupkg 是否在第一次被篡改地方。

那么如何保证文件的完整性呢?通过一个名为.signature.p7s的签名文件,本身存储在 .nupkg 文件中。使用此文件中信息的方法是发出 nuget.exe verify -all <nupkg_file> ,根据上面的最新链接(nuget.exe 可以从 here 下载)。

以下是被篡改的文件的结果(在测试中,我使用了 CommandLineParser NuGet 包并将其 license.md 文件从 .nupkg 文件中删除):

enter image description here

关于nuget - 有没有办法对给定的 Nuget 包进行校验和?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61569028/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com