已下载Git-2.28.0-64-bit**.exe**。我习惯于在安装之前检查一些下载的哈希和。据我所知,这将降低伪造URL和一些中间人攻击的风险。
但是我找不到.exe的SHA512或类似值。我可以简单地信任git下载吗?
这是以前请求的(Github在发布资产旁边提供sha256校验和(,但目前还不可用。
一些项目正在添加一个表示校验和的额外资产,如coreybutler/nvm-windows发布的标签1.1.7
Git for Windows版本为其所有版本添加了一个SHA-256表:
Git-2.28.0-32-bit.exe 9b83b16f1d73212492f21d9bffe41c4b5ce8393a356af96bf8271652c04dfe8f
因此,您可以通过这种方式控制下载工件的完整性。
而且,正如这里提到的,这些exe也被签名,这意味着你可以使用SignTools.exe来检查签名。