Next: Channels with Substitutes, Previous: Customizing the System-Wide Guix, Up: Canales [Contents][Index]
Las órdenes guix pull
y guix time-machine
verifican el código obtenido de los canales: se aseguran de que cada
commit que se obtenga se encuentre firmado por una desarrolladora
autorizada. El objetivo es proteger de modificaciones no-autorizadas al
canal que podrían provocar que las usuarias ejecuten código pernicioso.
Como usuaria, debe proporcionar una presentación del canal en su archivo de canales de modo que Guix sepa como verificar su primera revision. La especificación de una canal, incluyendo su introducción, es más o menos así:
(channel
(name 'un-canal)
(url "https://example.org/un-canal.git")
(introduction
(make-channel-introduction
"6f0d8cc0d88abb59c324b2990bfee2876016bb86"
(openpgp-fingerprint
"CABB A931 C0FF EEC6 900D 0CFB 090B 1199 3D9A EBB5"))))
La especificación previa muestra el nombre y la URL del canal. La llamada a
make-channel-introduction
especifica que la identificación de este
canal empieza en la revisión 6f0d8cc…
, que está firmada por la
clave de OpenPGP que tiene la huella CABB A931…
.
En el canal principal, llamado guix
, obtiene esta información de
manera automática desde su instalación de Guix. Para otros canales, incluya
la presentación del canal proporcionada por sus autoras en su archivo
channels.scm. Asegúrese de obtener la presentación del canal desde
una fuente confiable ya que es la raíz de su confianza.
Si tiene curiosidad sobre los mecanismos de identificación y verificación, ¡siga leyendo!