我是否需要Django-2.0，checksum.txt来检查下载的tar.gz是否是恶意软件？

Question

我是Ubuntu和bash的新手。我想通过在终端中输入bash命令在我的Ubuntu14.04上安装Django。我从这里下载了Django最新版本https://www.djangoproject.com/download/

现在我需要解压这个tar.gz并安装它。文件Django-2.0.checksum.txt也在网页https://www.djangoproject.com/download/上(页面的右侧)。

我不确定是否需要将Django-2.0.checksum.txt文件用于安全目的。该怎么办呢。如果我不使用这个文件并开始安装未打包的file.tar.gz，我的Ubuntu会面临风险吗？这个tar.gz是否可能包含恶意代码？

Answer 1

校验和值用于验证从Web下载的文件的完整性。所以在这里，诚信带来了很多东西。但是，作为一个例子，由于错误的internet连接，假设您的下载被取消了，并且您已经下载了该文件中缺少的一些数据包，那么您将永远不会成功地使用该文件安装Django，因为它已经“损坏”。

因此，为了节省你的时间，一旦你下载了该文件，它总是更好的做法是验证网站提供的文件的校验和，并在你的末尾下载文件的校验和。

有关更多信息，请阅读以下内容。来源：https://www.wireshark.org/docs/wsug_html_分块/ChAdvChecksums.html

校验和用于确保用于数据传输或存储的数据部分的完整性。校验和基本上是这样一个数据部分的计算总结。网络数据传输经常产生错误，如切换、丢失或重复比特。因此，接收到的数据可能与传输的数据不完全相同，这显然是一件坏事。由于这些传输错误，网络协议经常使用校验和来检测这些错误。发射机将计算数据的校验和，并与校验和一起发送数据。接收机将使用与发射机相同的算法计算接收数据的校验和。如果接收到的校验和计算的校验和不匹配，则发生传输错误。一些校验和算法可以通过计算预期误差所在的位置并修复它来恢复(简单的)错误。如果存在无法恢复的错误，则接收方丢弃数据包。根据网络协议，这种数据丢失被忽略，或者发送方需要以某种方式检测该丢失，并重新发送所需的数据包(S)。使用校验和可以大大减少未检测到的传输错误的数量。然而，通常的校验和算法不能保证100%的错误检测，因此很小数量的传输错误可能仍未被检测到。有几种不同的校验和算法；常用的校验和算法的一个例子是CRC32。实际为特定网络协议选择的校验和算法将取决于网络介质的预期误码率、错误检测的重要性、执行计算的处理器负载、所需性能等诸多因素。