大家好
我是Java构建补丁维护者之一,我们最近发现这个存储库的发行版存在问题:https://github.com/clojure/brew-install/
问题是发行版的工件似乎在最初发布后被重新发布/重新推送到GitHub,从而覆盖了附带的标签和工件;但是,由于 Paketo clojure构建补丁依赖于SHA256签名以确保存档是我们预期的,因此这基本上破坏了它们。
例如,以1.11.1.1347版为例。
- 在clojure/brew-install/ 存储库中,我们可以计算存档的sha256(
shasum -a 256 ~/Downloads/linux-install-1.11.1.1347.sh)为 73a780bac41fc43ac624973f4f6ac4e46f293fe25aa43636b477bcc9ce2875de
出人意料的是,这个版本日期可以追溯到8月26日,而提交是在5月31日完成的
- 另一方面,Paketo团队在这里的sha 对于相同的脚本是不同的
我们相信用户puredanger在8月26日大量覆盖了GitHub发行版,可能更改了发布内容的,我们认为这是为了查看这个发行版页面,其中所有早期的发行版(<1360)都被更新了
我们只是想确保这个问题被人所知,并且如果可能的话,不会频繁发生,因为这会破坏下游的分销渠道,如Paketo构建补丁。(我们刚刚更新并发布到最新的clojure版本之一,但坚持使用较旧版本的用户可能会受到影响)
谢谢!
