如何在不允许不受信任的情况下验证从高山上github下载的包

Question

我正在尝试从它的Github 存储库安装symfony框架。

因此，我将apk文件添加到本地计算机并尝试安装它，但我得到了以下错误：

误差

#10 0.245 ERROR: /tmp/symfony-cli_5.4.11_x86_64.apk: UNTRUSTED signature

安装脚本

SYMFONY_CLI_VERSION="5.4.11"
SYMFONY_ARCH="x86_64"

wget -O /tmp/symfony-cli_${SYMFONY_CLI_VERSION}_${SYMFONY_ARCH}.apk "https://github.com/symfony-cli/symfony-cli/releases/download/v${SYMFONY_CLI_VERSION}/symfony-cli_${SYMFONY_CLI_VERSION}_${SYMFONY_ARCH}.apk"
apk add --repositories-file=/dev/null --no-network --no-cache "/tmp/symfony-cli_${SYMFONY_CLI_VERSION}_${SYMFONY_ARCH}.apk"

我试图安装相关的.apk.pem文件，base64对其进行解码，从解码证书中获取一个公钥并将其添加到"/etc/apk/keys/${SYMFONY_CLI_VERSION}_${SYMFONY_ARCH}@symfony-1C204ECEF7BED6AB.rsa.pub"中，但错误仍然相同。

我注意到/etc/apk/key/中的文件名包含错误的指纹，但我不知道如何从我所拥有的资源中获取它，甚至不知道它是否导致了问题。

如果我将--allow-untrusted添加到apk add命令中，它就会工作。我的问题是如何在不允许不受信任的情况下验证下载的文件并安装它？

Answer 1

你为什么不遵守手册？https://symfony.com/download#step-1-install-symfony-cli

sudo apk add --no-cache bash
curl -1sLf 'https://dl.cloudsmith.io/public/symfony/stable/setup.alpine.sh' | sudo -E bash
sudo apk add symfony-cli

或者看看setup.alpine.sh，看看它是如何添加签名的。