我是 maven 的新手,我想下载 maven,所以我访问了 maven Apache 官方网站并转到下载部分,但可以找到更多下载链接,例如链接校验和签名。我点击了校验和,得到了一个结果,比如
2a803f578f341e164f6753e410413d16ab60fabe31dc491d1fe35c984a5cce696bc71f57757d4538fe7738be04065a216f3ebad4ef7e0ce1bb4c51bc36d6be86
当我单击签名时,我会找到类似
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org
iF0EABEKAB0WIQQEKynpKJlbnbljxjbHyhm3tiDXhwUCWyap+AAKCRDHyhm3tiDX
h808AJ40mPQBJN/uKagq3Dkz2A2thpXQpACfR+C1pi3JH403UgRT72UeI3S/nso=
=3apP
-----END PGP SIGNATURE-----
所以我很困惑我应该下载什么,我想知道这些链接之间有什么不同。 Maven下载页面的快照
校验和以及签名不是特定于 maven 的! 校验和是一个sha256(校验和算法(,它是在maven二进制文件(链接到.tar.gz等(上构建的。这样做是为了允许您验证是否已下载未经操纵的二进制文件! 它构建的签名也是如此,具有相当好的隐私性,允许您验证未经处理的下载。
更糟糕的是,当有人可以为二进制下载做一个中间人攻击时,那么他/她也可以做一个中间人来做校验和和签名。 因此,我建议只下载maven,而忘记初学者的校验和和签名。