Hiện tại câu trả lời là bạn không thể. Xác thực duy nhất là cho tải lên (được thực hiện bằng xác thực HTTP cơ bản).
Có nhiều cấp độ khác nhau về an ninh mà mọi người yêu cầu:
- Kiểm tra nếu một tarball đã được sửa đổi vì nó đã được tải lên
- Đảm bảo rằng một tarball không thể được tải lên bởi phi bảo trì
- Kiểm tra rằng một tarball thực sự được tạo bởi một cá nhân cụ thể
Máy chủ mới sẽ xử lý vấn đề thứ hai.
Thêm tệp kê khai có chữ ký vào chỉ mục hackage sẽ giải quyết được tệp đầu tiên. Đó sẽ là một giải pháp nhẹ relativley. Nó không đảm bảo rằng gói được tải lên là do bất kỳ ai nói riêng hoặc máy chủ không bị tấn công.
Thứ ba sẽ nặng hơn nhiều và chúng tôi không thể hy vọng một cách hợp lý rằng điều này có thể nhiều hơn tùy chọn. Đối với một điều nó có nghĩa là các nhà bảo trì phải ký các gói của họ. Nó cũng có nghĩa là người dùng bằng cách nào đó phải quản lý một keychain hoặc một trang web tin cậy tương tự. Điều này sẽ có rất nhiều cơ sở hạ tầng, ví dụ: làm gnupg làm việc trên cửa sổ sẽ là một pita.
Nguồn
2010-10-14 07:29:30
Không có kiểm tra danh tính của những người đóng góp thực sự. Và không đảm bảo rằng họ giữ mật khẩu tải lên của họ an toàn. Đó là một doanh nghiệp "Tôi tin tưởng mọi người". – sastanin
Tôi không lo lắng về điều đó - những gì tôi muốn là để đảm bảo rằng những gì tôi tải xuống đến từ máy chủ hack "thực". Xác thực những gì trên các con ong bị tấn công là một vấn đề khác. – iustin