我是Maven的新手,我想下载maven,所以我访问了maven Apache official site并转到下载部分,但是找到了更多下载链接,例如 链接校验和签名。我点击了校验和,并得到了
2a803f578f341e164f6753e410413d16ab60fabe31dc491d1fe35c984a5cce696bc71f57757d4538fe7738be04065a216f3ebad4ef7e0ce1bb4c51bc36d6be86
当我单击“签名”时,我会发现类似的结果
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org
iF0EABEKAB0WIQQEKynpKJlbnbljxjbHyhm3tiDXhwUCWyap+AAKCRDHyhm3tiDX
h808AJ40mPQBJN/uKagq3Dkz2A2thpXQpACfR+C1pi3JH403UgRT72UeI3S/nso=
=3apP
-----END PGP SIGNATURE-----
所以我很困惑我应该下载什么,我想知道这些链接之间有什么不同。 snap shot of maven download page
答案 0 :(得分:0)
校验和以及签名不是特定于Maven的! 校验和是一种sha256(校验和算法),已在Maven二进制文件(链接到.tar.gz等)上构建。这样做是为了让您确认您已下载了未经操纵的二进制文件! 用pretty good privacy构建的签名也是如此,以允许您验证未操纵的下载。
更糟糕的是,当某人可以对中间人进行二进制下载攻击时,他/她也可以对中间人进行校验和和签名。 因此,我建议只下载Maven,而忽略初学者的校验和和签名。
