Hello Clojure 社区
我是 Java 构建补丁维护者之一,我们最近发现这个仓库的版本发布存在不一致:[https://github.com/clojure/brew-install/](https://github.com/clojure/brew-install/)
问题是,发布工件似乎在最初发布后已被重新发布/重新推送,从而覆盖了附带的标签和工件;但鉴于 [paketo buildpack for clojure](https://github.com/paketo-buildpacks/clojure-tools/) 依赖 SHA256 签名以确保归档是我们预期的那样,这基本上破坏了它们。
例如,以版本 1.11.1.1347 为例。
- 在 clojure/brew-install/ 仓库中,我们可以通过 sha256 归档(`shasum -a 256 ~/Downloads/linux-install-1.11.1.1347.sh`)得到
73a780bac41fc43ac624973f4f6ac4e46f293fe25aa43636b477bcc9ce2875de。
但奇怪的是,这个发布日期为 2023 年 8 月 26 日,而提交发生在 2023 年 5 月 31 日。
我们认为用户 puredanger 在 2023 年 8 月 26 日大量覆盖了 Github 发布,可能更改了已发布的发布内容;这种推测的理由是查看 [此发布页面](https://github.com/clojure/brew-install/releases?page=2),其中更新了所有旧版本(<1360)的发布
我们只想确保这个问题是已知的,并且在可能的情况下,不会频繁发生,因为它可能会破坏下游的分发渠道,例如 Paketo 构建补丁。(我们刚刚更新并发布了最新的 clojure 版本,但仍然用户可能受旧版本的更新影响)
感谢!
