Documentation/translations/zh_CN/process/maintainer-pgp-guide.rst
Source file repositories/reference/linux-study-clean/Documentation/translations/zh_CN/process/maintainer-pgp-guide.rst
File Facts
- System
- Linux kernel
- Corpus path
Documentation/translations/zh_CN/process/maintainer-pgp-guide.rst- Extension
.rst- Size
- 32320 bytes
- Lines
- 790
- Domain
- Support Tooling And Documentation
- Bucket
- Documentation
- Inferred role
- Support Tooling And Documentation: documentation
- Status
- atlas-only
Why This File Exists
Repository support layer: documentation, build tooling, samples, user-space helper tools, generated initramfs support, licenses, and validation utilities.
- Repository support layer: documentation, build tooling, samples, user-space helper tools, generated initramfs support, licenses, and validation utilities.
Dependency Surface
- No C-style include directives detected by the generator.
Detected Declarations
- No top-level syscall, struct, function, initcall, or export declaration detected by the generator.
Annotated Snippet
.. SPDX-License-Identifier: GPL-2.0
.. include:: ../disclaimer-zh_CN.rst
:Original: Documentation/process/maintainer-pgp-guide.rst
:翻译:
司延腾 Yanteng Si <siyanteng@loongson.cn>
:校译:
===================
内核维护者 PGP 指南
===================
:作者: Konstantin Ryabitsev <konstantin@linuxfoundation.org>
本文档面向 Linux 内核开发者,特别是子系统维护人员。文档中含有Linux 基金
会发布的更通用的 `保护代码完整性`_ 指南中讨论的内容子集。阅读该文档,以更
深入地讨论本指南中提到的一些主题。
.. _`保护代码完整性`: https://github.com/lfit/itpol/blob/master/protecting-code-integrity.md
PGP 在 Linux 内核开发中的作用
=============================
PGP 有助于确保 Linux 内核开发社区产出代码的完整性,并在较小程度上,通过
PGP 签名的电子邮件交换,在开发者之间建立可信的交流渠道。
Linux 内核源代码主要有两种(维护)方式:
- 分布式源仓库 (git)
- 定期发布快照 (tarballs)
git 仓库和 tarball 都带有创建官方内核版本的内核开发者的 PGP 签名。这
些签名提供了加密保证,即保证 kernel.org 或任何其他镜像提供的可下载版本
与这些开发者在其工作站上的版本相同。为此:
- git 仓库在所有标签上提供 PGP 签名
- tarball 为所有下载提供独立的 PGP 签名
信任开发者,不要信基础设施
--------------------------
自从 2011 年 kernel.org 核心系统遭到入侵以来,内核存档项目的主要运行原
则就是假定基础设施的任何部分都可能随时受到入侵。因此,管理员特意采取措施,
强调必须始终信任开发者,不能信任代码托管基础设施,无论后者的安全实践有多好。
上述指导原则正是需要本指南的原因。希望确保通过对开发者的信任,我们不会简
单地将未来潜在安全事件的责任归咎于其他人。目的是提供一套指导开发者可以用
来创建安全的工作环境并保护用于建立 Linux 内核本身完整性的 PGP 密钥。
PGP 工具
========
使用 GnuPG 2.2 或更高版本
-------------------------
默认情况下,你的发行版应该已经安装了 GnuPG,你只需要验证你使用的是相当新的
版本即可。要检查,请运行::
$ gpg --version | head -n1
如果你有 2.2 或更高版本,那么你就可以开始了。如果你的版本早于 2.2,则本指
南中的某些命令可能不起作用。
配置 gpg-agent 选项
~~~~~~~~~~~~~~~~~~~
Annotation
- Atlas domain: Support Tooling And Documentation / Documentation.
- Implementation status: atlas-only.
Implementation Notes
- This generated page is the file-by-file coverage layer; curated subsystem chapters should link here when they synthesize a multi-file control flow.
- Core OS pages should be promoted from atlas-only to deep-reviewed when they explain data structures, invariants, locking, lifecycle, and C implementation snippets.
- Driver-family pages are intentionally pattern-oriented unless they are part of the selected PCIe/NVMe representative device path.