我使用tufup包来实现Python应用程序的自动更新。但是,我根本不明白签名部分。我阅读了 TUF 网站上的角色和元数据部分,但我仍然不明白这个过程。我应该何时/什么/如何签署元数据文件?
这就是我所做的:
pyinstaller
构建应用程序,版本 1.0.0(root.json
也包含在应用程序中)。我使用 tufup
Client
检查启动时的更新。它没有找到
任何并输出错误消息,例如“无法刷新
元数据:根由 0/1 密钥签名”。有时是“时间戳”
而不是“根”。我尝试用 root
、targets
、timestamp
签名
命令,例如,tufup sign -e 365 root <path to keystore>
。我不知道
什么时候应该签名以及我应该签名什么。
你是如何解决这个问题的?我也被同样的问题困扰了。