代码签名 Linux 包

本指南提供有关 Linux 包代码签名的信息。

要求

必须准备用于签名的密钥。可以使用以下命令生成新的密钥

gpg2 --full-gen-key

请参阅 gpg 或 gpg2 文档以获取更多信息。你应特别注意将私钥和公钥备份到安全位置。

您可以通过设置以下环境变量将签名嵌入 AppImage

SIGN：设置为 1 以对 AppImage 进行签名。
SIGN_KEY：可选变量，用于使用特定的 GPG 密钥 ID 进行签名。
APPIMAGETOOL_SIGN_PASSPHRASE：签名密钥密码。如果未设置，gpg 将显示一个对话框，以便您可以输入密码。在运行自动化任务时，您必须设置此项。

您可以通过运行以下命令显示嵌入在 AppImage 中的签名

./src-tauri/target/release/bundle/appimage/$APPNAME_$VERSION_amd64.AppImage --appimage-signature

请注意，您需要根据配置将 $APPNAME 和 $VERSION 值更改为正确的值。

签名未验证

AppImage 不会验证签名，因此您不能依靠它来检查文件是否已被篡改。要验证签名，您必须为用户提供一个外部工具。有关其他信息，请参阅 AppImage 官方文档。