mercurial克隆數據inegrity

Question

我將openJDK源代碼克隆到我的本地庫，並且我想確保文件完整性在傳輸過程中保持不變。

hg clone http://hg.openjdk.java.net/jdk8/jdk8/ 

善變的常見問題解答說，revlogs都對他們的哈希值檢查，「但僅此是不夠的，以確保有人不與倉庫篡改。對於這一點，你需要加密簽名。」這是否意味着我需要使用 這樣的SSH？

hg clone ssh://hg.openjdk.java.net/jdk8/jdk8/ 

爲了獲得SSH訪問權限，我是否必須註冊爲項目貢獻者？如果是這樣，是否有辦法在不成爲貢獻者的情況下獲得經過驗證的克隆？

Answer 1

SSH提供傳輸加密。它確保數據不能從OpenJDK存儲庫傳輸到您的計算機。

Mercurial常見問題解答是關於signing the commits，它確保您可以稍後驗證這些提交沒有被單獨篡改。這意味着攻擊者不能侵入OpenJDK服務器或僞造上游驗收提交，並在修改中添加該項目並不意味着在那裏。您將能夠識別這些修訂版本，因爲它們缺少正確的簽名或完全沒有簽名。

SSH不會保護您免受此類問題的困擾，因爲SSH不關心其傳輸的數據。惡意（修改或添加）提交與安全修改一樣安全。

已簽名的提交不是您作爲存儲庫稍後可以添加的消費者的東西。 OpenJDK項目必須從一開始就建立簽名到他們的提交程序。