MongoDB for VSCode プラグインを検証する
MongoDB リリースチームは、プラグインが有効で、改変されていない MongoDB リリースであることを証明するために、VS Code 拡張機能リリースにデジタル署名しています。 デジタル署名を使用してプラグインを検証し、信頼できるインストールであることを確認できます。
始める前に
VS CodeVS CodeVS Code拡張機能がインストールされていない場合は、 GithubリリースGithub ページ または Visual Studio Code 拡張機能マーケットプレイスからVS Code拡張機能 プラグインをダウンロードします。
手順
1
VS Code 拡張機能の署名ファイルをダウンロード
GoMongoDBVS Codeのリリース ページ に.sig をクリックして、VS Code 拡張機能のバージョンの {14 ファイルをダウンロードします。
2
VS Code 拡張機能公開鍵をインポートする
curl https://pgp.mongodb.com/mongodb-vscode.asc | gpg --import
キーが正常にインポートされると、コマンドは以下を返します。
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
以前にキーをインポートしたことがある場合、コマンドは次を返します。
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
3
プラグインを検証する
gpg --verify <path_to_signature_file> <path_to_plugin_vsix_file>
プラグインが MongoDB によって署名されている場合、コマンドは以下を返します。
gpg: Signature made Mon Jan 8 19:30:04 2024 CET gpg: using RSA key A505CECC78EC9A688A4811505D55DCA8B92B7040 gpg: Good signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]
パッケージが署名されているが、署名キーがローカルのtrustdbに追加されていない場合、コマンドは次を返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
パッケージが正しく署名されていない場合、コマンドはエラー メッセージを返します。
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]