Suivant: Canaux avec des substituts, Précédent: Customizing the System-Wide Guix, Monter: Canaux [Table des matières][Index]
Les commandes guix pull
et guix time-machine
authenticate téléchargent et contrôlent le code récupéré sur les
canaux : elles s’assurent que chaque commit récupéré est signé par un·e
développeur·euse autorisé·e. L’objectif est de protéger contre les
modifications non autorisées du canal qui conduiraient les
utilisateur·rice·s à exécuter du code malveillant.
En tant qu’utilisateur, vous devez fournir une introduction de canal dans votre fichier de canaux afin que Guix sache comment authentifier son premier commit. Une spécification de canal, y compris son introduction, ressemble à quelque chose de ce genre :
(channel
(name 'some-channel)
(url "https://example.org/some-channel.git")
(introduction
(make-channel-introduction
"6f0d8cc0d88abb59c324b2990bfee2876016bb86"
(openpgp-fingerprint
"CABB A931 C0FF EEC6 900D 0CFB 090B 1199 3D9A EBB5"))))
La spécification ci-dessus indique le nom et l’URL du canal. L’appel à
make-channel-introduction
ci-dessus spécifie que l’authentification
de ce canal commence au commit 6f0d8cc…
, qui est signé par la
clé OpenPGP avec l’empreinte digitale CABB A931…
.
Pour le canal principal, appelé guix
, vous obtenez automatiquement
cette information à partir de votre installation de Guix. Pour les autres
canaux, incluez l’introduction du canal fournie par les auteurs du canal
dans votre fichier channels.scm. Assurez-vous de récupérer
l’introduction du canal à partir d’une source fiable, car c’est la base de
votre confiance.
Si vous êtes curieux·euse à propos des mécanismes d’authentification, lisez !