我正在尝试安装Apache Lucene 5.3.0(来自源代码)。镜像站点提供UIImage *image = UIImage(named: "background.png");
if let image = image {
self.view.backgroundColor = UIColor(patternImage: image)
}
和lucene-5.3.0-src.tgz(签名文件),但后者使用的是lucene-5.3.0-src.tgz.asc文件中未包含的RSA密钥ID 3FCFDB3E(也是提供)。
KEYS
这个问题似乎影响了多个网站。指纹应该是什么?为什么密钥不包含在$ gpg --verify ./lucene-5.3.0-src.tgz.asc
gpg: assuming signed data in `./lucene-5.3.0-src.tgz'
gpg: Signature made 2015-08-17T13:35:34 CEST using RSA key ID 3FCFDB3E
gpg: Can't check signature: public key not found文件中?
答案 0 :(得分:0)
似乎key of Paul Noble正是您正在寻找的,有指纹
CFCE 5FBB 920C 3C74 5CEE E084 C38F F5EC 3FCF DB3E
关键是相当新的(一堆几周)。
你不能确定他是否被允许为Apache Lucene发布,也不能确定该密钥实际属于他。
短Google survey at least indicates several contributions to free software,以及Linux内核,但如果没有进一步的分析,这不应该被认为是值得信赖的。也没有可用于通过信任网验证密钥的传入证书。
我建议您与Apache联系,可能在Lucene邮件列表上,并询问开发人员如何根据信任假设来验证版本。并指出它们应该更改的错误(例如,在KEYS文件中包含密钥)。
答案 1 :(得分:0)
围绕KEYS文件发布的政策"已发布"对于lucene项目来说,有点令人困惑,因为使用了id.apache.org - > people.apache.org,它根据当前的密钥为每个项目委员会自动生成一个KEYS文件。一些背景故事......
https://issues.apache.org/jira/browse/LUCENE-5143
目前的政策是每个新的Lucene / Solr版本都会发布所有当前密钥的快照,因此5.3.0将会在这里......
https://www.apache.org/dist/lucene/java/5.3.0/KEYS
...但是旧的"非特定版本"密钥文件仍然可用 - 特别是用于验证存档中可能早于当前策略的旧版软件。
您始终可以看到所有"活跃"的列表使用http://people.apache.org/keys/
的给定apache项目/用户的键