GPG を使用したパッケージの検証
MongoDB リリースチームは、パッケージが有効で、改変されていない MongoDB リリースであることを証明するために、MongoDB Compass パッケージにデジタル署名しています。 MongoDB Compass をインストールする前に、デジタル署名を使用してパッケージを検証できます。
このページでは、GPG を使用してパッケージを検証する方法について説明します。
始める前に
MongoDB Compass がインストールされていない場合は、 ダウンロード センターから MongoDB Compass バイナリをダウンロードします。
手順
MongoDB Compass 公開鍵をインポートする
curl https://pgp.mongodb.com/compass.asc | gpg --import
キーが正常にインポートされると、コマンドは以下を返します。
gpg: key CEED0419D361CB16: public key "MongoDB Compass Signing Key <compass@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
以前にキーをインポートしたことがある場合、コマンドは次を返します。
gpg: key A8130EC3F9F5F923: "MongoDB Compass Signing Key <compass@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
MongoDB Compass 公開署名をダウンロード
MongoDB CompassGo公開署名をダウンロードするには、CompassCompass Githubのリリースに.sig します 3} のページにアクセスして、バージョンとバリアントに対応する ファイルをダウンロードします。
たとえば、 mongodb-compass-1.44.5-darwin-x64.zipアーカイブをダウンロードした場合は、 mongodb-compass-1.44.5-darwin-x64.zip.sig署名をダウンロードします。
注意
署名をダウンロードするときに、 Githubリリース ページで正しいバージョンを選択していることを確認してください。
パッケージを検証します
gpg --verify <path_to_signature_file> <path_to_compass_archive>
パッケージが MongoDB によって署名されている場合、コマンドは以下を返します。
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: Good signature from "MongoDB Compass Signing Key <compass@mongodb.com>" [unknown]
パッケージが署名されているが、署名キーがローカルのtrustdbに追加されていない場合、コマンドは次を返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
パッケージが正しく署名されていない場合、コマンドはエラー メッセージを返します。
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "MongoDB Compass Signing Key <compass@mongodb.com>" [unknown]