Suivant: , Précédent: , Monter: Canaux   [Table des matières][Index]


7.4 Authentification des canaux

Les commandes guix pull et guix time-machine authenticate téléchargent et contrôlent le code récupéré sur les canaux : elles s’assurent que chaque commit récupéré est signé par un·e développeur·euse autorisé·e. L’objectif est de protéger contre les modifications non autorisées du canal qui conduiraient les utilisateur·rice·s à exécuter du code malveillant.

En tant qu’utilisateur, vous devez fournir une introduction de canal dans votre fichier de canaux afin que Guix sache comment authentifier son premier commit. Une spécification de canal, y compris son introduction, ressemble à quelque chose de ce genre :

(channel
  (name 'some-channel)
  (url "https://example.org/some-channel.git")
  (introduction
   (make-channel-introduction
    "6f0d8cc0d88abb59c324b2990bfee2876016bb86"
    (openpgp-fingerprint
     "CABB A931 C0FF EEC6 900D  0CFB 090B 1199 3D9A EBB5"))))

La spécification ci-dessus indique le nom et l’URL du canal. L’appel à make-channel-introduction ci-dessus spécifie que l’authentification de ce canal commence au commit 6f0d8cc…, qui est signé par la clé OpenPGP avec l’empreinte digitale CABB A931….

Pour le canal principal, appelé guix, vous obtenez automatiquement cette information à partir de votre installation de Guix. Pour les autres canaux, incluez l’introduction du canal fournie par les auteurs du canal dans votre fichier channels.scm. Assurez-vous de récupérer l’introduction du canal à partir d’une source fiable, car c’est la base de votre confiance.

Si vous êtes curieux·euse à propos des mécanismes d’authentification, lisez !