Hello Clojure社区
我是Java构建包维护者之一,我们最近发现了这个仓库发布中的不一致:[https://github.com/clojure/brew-install/](https://github.com/clojure/brew-install/)
该问题在于发布工件似乎在最初发布后已被重新发布/重新推送,从而覆盖了与之关联的标签和工件;但鉴于paketo构建包依赖SHA256签名以确保归档是我们期望的,这基本上破坏了它们。
以1.11.1.1347版本为例。
- 在clojure/brew-install/仓库中,我们可以计算归档的SHA256(`shasum -a 256 ~/Downloads/linux-install-1.11.1.1347.sh`),得到`73a780bac41fc43ac624973f4f6ac4e46f293fe25aa43636b477bcc9ce2875de`
然而,这个发布日期是8月26日,而提交是在5月31日完成的
- 另一方面,Paketo团队对该相同的脚本有不同的sha
我们认为用户在8月26日大量覆盖了Github发布,可能更改了发布的发布内容;这种看法是因为查看此发布页面,所有更早的发布(<1360)都被更新了
我们只是想确保这个问题是众所周知的,并且如果可能的话,不会频繁发生,因为它可能会破坏下游的分销渠道,例如Paketo构建包。(我们刚刚更新并发布到最新的Clojure版本之一,但坚持使用旧版本的用户可能会受到影响)
谢谢!
