Linux 代码签名

本指南提供关于 Linux 软件包代码签名的信息。尽管在 Linux 上部署您的应用程序不需要工件签名，但它可用于增加对您部署的应用程序的信任。对二进制文件进行签名允许您的最终用户验证这些文件是真实的，并且没有被其他不受信任的实体修改。

AppImage 签名

AppImage 可以使用 gpg 或 gpg2 进行签名。

prerequisites

必须准备用于签名的密钥。可以使用以下命令生成新密钥

gpg2 --full-gen-key

有关更多信息，请参阅 gpg 或 gpg2 文档。您应格外小心，将您的私钥和公钥备份到安全位置。

签名

您可以通过设置以下环境变量在 AppImage 中嵌入签名

• SIGN: 设置为 1 以签名 AppImage。
• SIGN_KEY: 可选变量，用于为签名使用特定的 GPG 密钥 ID。
• APPIMAGETOOL_SIGN_PASSPHRASE: 签名密钥密码。如果未设置，gpg 将显示一个对话框，以便您可以输入密码。在 CI/CD 平台中构建时，您必须设置此变量。
• APPIMAGETOOL_FORCE_SIGN: 默认情况下，即使签名失败，也会生成 AppImage。要退出错误，您可以将此变量设置为 1。

您可以通过运行以下命令来显示嵌入在 AppImage 中的签名

./src-tauri/target/release/bundle/appimage/$APPNAME_$VERSION_amd64.AppImage --appimage-signature

请注意，您需要根据您的配置更改 $APPNAME 和 $VERSION 值。

注意

签名未被验证

AppImage 不验证签名，因此您不能依赖它来检查文件是否已被篡改。用户必须使用 AppImage 验证工具手动验证签名。这需要您在经过身份验证的渠道（例如，通过 TLS 提供的您的网站）上发布您的密钥 ID，以便最终用户可以查看和验证。

有关更多信息，请参阅官方 AppImage 文档。

验证签名

AppImage 验证工具可以从此处下载。选择 validate-$PLATFORM.AppImage 文件之一。

运行以下命令以验证签名

chmod +x validate-$PLATFORM.AppImage
./validate-$PLATFORM.AppImage $TAURI_OUTPUT.AppImage

如果签名有效，输出将是

Validation result: validation successful
Signatures found with key fingerprints: $KEY_ID
====================
Validator report:
Signature checked for key with fingerprint $KEY_ID:
Validation successful