V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ivito
V2EX  ›  macOS

brew 国内源安全性

  •  
  •   ivito · 2016-01-04 23:17:02 +08:00 · 5659 次点击
    这是一个创建于 3245 天前的主题,其中的信息可能已经有所发展或是发生改变。
    homebrew 二进制源使用其它源代替的话安全性有保证吗, homebrew 安装软件的时候会对下载下来的软件包进行 md5 校验吗?
    在.bash_profile 或者.zshrc 中添加
    export HOMEBREW_BOTTLE_DOMAIN=http://7xkcej.dl1.z0.glb.clouddn.com
    即可使用该二进制源。
    使用这个二进制源确实下载很快,但不知道安全性是否有保证。
    15 条回复    2016-10-11 18:28:28 +08:00
    Starduster
        1
    Starduster  
       2016-01-05 05:13:10 +08:00
    代理能搞定的问题我一般不换源
    jsfaint
        2
    jsfaint  
       2016-01-05 08:59:54 +08:00
    brew 换源没啥意义……
    Havee
        3
    Havee  
       2016-01-05 09:26:22 +08:00
    楼主知道 homebrew 脚本中的 sha256 干嘛用的吗
    meteor
        4
    meteor  
       2016-01-05 09:40:23 +08:00
    ivito
        5
    ivito  
    OP
       2016-01-05 10:22:18 +08:00
    @Havee 我知道 sha256 可以用来计算文件的指纹, openssl 中有实现。 brew 也用 sha256 校验指纹吗?
    ivito
        6
    ivito  
    OP
       2016-01-05 10:23:41 +08:00   ❤️ 1
    @jsfaint 你说的那是 brew 的自己的软件列表以及安装公式的源,那个换了确实效果不大,还是得去二进制源下载软件,不过把二进制源也换了就很快了。
    Havee
        7
    Havee  
       2016-01-05 10:58:42 +08:00
    @ivito 随便一个 brew edit lftp
    看下就明了,二进制源使用 cdn 并无不妥。
    不过,如果连 homebrew 的 remote 也换掉的话,就另当别论。
    187j3x1
        8
    187j3x1  
       2016-01-05 13:03:15 +08:00
    http://ban.ninja/
    谢谢这哥吧 下载包会检验 保持 git 源不变很安全啊
    jsfaint
        9
    jsfaint  
       2016-01-05 13:48:36 +08:00
    r#6 @ivito 没错,目前有信得过的二进制源吗?
    ivito
        10
    ivito  
    OP
       2016-01-05 20:25:13 +08:00
    @jsfaint 很稀少,帖子中提供了一个,根据 3 楼的回答 brew 会校验文件指纹,如果真是这样的话还算比较安全。
    ivito
        11
    ivito  
    OP
       2016-01-05 23:00:23 +08:00
    @Havee 好像很厉害的样子,不知道这个文件干啥用的
    Havee
        12
    Havee  
       2016-01-05 23:58:30 +08:00
    你使用 homebrew 安装软件时就是一个 ruby 脚本在执行
    Bardon
        13
    Bardon  
       2016-01-06 13:29:38 +08:00
    bintray 上的 bottles 共 3250 个 packages
    放到七牛,开销不小吧,这个是私人弄的还是七牛官方做的?

    其他的 bottles-apache bottles-dupes 等, packages 不多,为什么不弄镜像呢
    meteor
        14
    meteor  
       2016-01-27 10:53:26 +08:00
    https://servers.ustclug.org/2016/01/mirrors-add-homebrew-bottles-source/
    中国科技大学的 Homebrew Bottles 源也有了, 可以放心使用.
    export HOMEBREW_BOTTLE_DOMAIN=https://mirrors.ustc.edu.cn/homebrew-bottles
    miki6180
        15
    miki6180  
       2016-10-11 18:28:28 +08:00
    brew 的源原始是多少。。。忘备份了,蛋疼。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2194 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:54 · PVG 08:54 · LAX 16:54 · JFK 19:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.