apex / signer
为您的Composer包提供数字签名和验证。
Requires
- php: >=8.0
- ext-openssl: *
Requires (Dev)
- phpunit/phpunit: ^9.5
This package is auto-updated.
Last update: 2024-09-29 05:43:15 UTC
README
允许作者轻松将数字签名添加到他们的Composer包的发布中,并允许用户轻松验证Composer下载的包和更新,以确保没有未经授权的代码进入仓库。
安装
使用Composer安装
composer require --dev apex/signer
验证下载
通过运行以下命令验证 /vendor/ 目录中所有可用的包
./vendor/bin/signer verify
这将遍历所有已安装的Composer包,并在每个包中查找 signatures.json 文件。找到后,将根据包内容构建该包的Merkle树,并与该版本的signatures.json文件中找到的数字签名进行比较。如果作者选择通过https://ledger.apexpl.io/的公共账本在线签名,这还将验证签名证书与账本。
生成签名
在包根目录中,使用以下命令初始化signer
./vendor/bin/signer init
初始化后,在运行 git commit 之前,使用以下命令对包进行签名
./vendor/bin/signer sign [VERSION] [PASSWORD]
如果没有指定版本,系统将提示您输入一个版本,版本必须与git仓库将要标记的版本相同。这将生成所有由git跟踪的文件的Merkle根,使用您的私钥对其进行签名,并将必要的条目添加到signatures.json文件中。
签名后,请按照屏幕上的说明操作--将signatures.json添加到git,提交并推送仓库,然后使用与创建签名相同的版本标记它。您的包现在将在用户验证他们的包时包含在内,您的包位于他们的 /vendor/ 目录中。
签名并发布包
或者,您可以使用一个 release 命令完成所有步骤
./vendor/bin/signer release [VERSION] -m "您的提交信息"
或者通过包含一个文件用于提交信息
./vendor/bin/signer release [VERSION] --file commit.txt
这将像上面一样对包进行签名,但还会提交和推送仓库,然后一次性标记和推送标签。这将检查您的git设置,并推送到正确的远程仓库和分支名称。在所有文件都已准备就绪并准备发布之前,请运行此命令。
支持
如果您有任何问题、问题或反馈,请随时在ApexPl Reddit sub上发表留言,以获得快速和有用的响应。
关注Apex
在不久的将来,将会有许多好东西,包括新的高质量开源包,更深入的文章/教程,涵盖实用主题等。通过加入我们网站上的邮件列表或关注Twitter上的@mdizak1来保持最新信息。