Nächste: Kanäle mit Substituten, Vorige: Anpassung des systemweiten Guix, Nach oben: Kanäle [Inhalt][Index]
Die Befehle guix pull
und guix time-machine
authentifizieren den von Kanälen bezogenen Code. Es wird geprüft, dass
jeder geladene Commit von einem autorisierten Entwickler signiert wurde. Das
Ziel ist, Sie vor unautorisierten Änderungen am Kanal, die Nutzer bösartigen
Code ausführen lassen, zu schützen.
Als Nutzer müssen Sie eine Kanaleinführung („Channel Introduction“) in Ihrer Kanaldatei angeben, damit Guix weiß, wie der erste Commit authentifiziert werden kann. Eine Kanalspezifikation, zusammen mit seiner Einführung, sieht in etwa so aus:
(channel
(name 'ein-kanal)
(url "https://example.org/ein-kanal.git")
(introduction
(make-channel-introduction
"6f0d8cc0d88abb59c324b2990bfee2876016bb86"
(openpgp-fingerprint
"CABB A931 C0FF EEC6 900D 0CFB 090B 1199 3D9A EBB5"))))
Obige Spezifikation zeigt den Namen und die URL des Kanals. Der Aufruf von
make-channel-introduction
, den Sie oben sehen, gibt an, dass die
Authentifizierung dieses Kanals bei Commit 6f0d8cc…
beginnt, welcher
mit dem OpenPGP-Schlüssel mit Fingerabdruck CABB A931…
signiert ist.
Für den Hauptkanal mit Namen guix
bekommen Sie diese Informationen
automatisch mit Ihrer Guix-Installation. Für andere Kanäle tragen Sie die
Kanaleinführung, die Ihnen die Kanalautoren mitteilen, in die Datei
channels.scm ein. Achten Sie dabei darauf, die Kanaleinführung von
einer vertrauenswürdigen Quelle zu bekommen, denn sie stellt die Wurzel all
Ihren Vertrauens dar.
Wenn Sie neugierig sind, wie die Authentifizierung funktioniert, lesen Sie weiter!