Verifique la integridad de los paquetes mongot

MongoDB Search and búsqueda vectorial with MongoDB Community está en vista previa. La funcionalidad y la documentación correspondiente pueden cambiar en cualquier momento durante el período de vista previa. Para aprender más, consulta Funcionalidades de Previsualización.

El equipo de lanzamiento de MongoDB Search firma digitalmente todos los paquetes de software para certificar que un determinado mongot el paquete es una versión válida y sin alteraciones de mongot. Antes de instalar mongot, se debe validar la imagen del contenedor o el archivo tarball.

Verificar imagen de contenedor Docker

Download the PEM file

Run the following command to save the PEM file as mongodb-search-community.pem:

curl -fsSL https://cosign.mongodb.com/mongodb-search-community.pem -o mongodb-search-community.pem

Verify the container image

Reemplaza {VERSION_NUMBER} con la versión de mongot que descargaste del MongoDB Search en el Centro de Descargas de la Comunidad y ejecuta el siguiente comando para verificar la imagen del contenedor:

COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify  --private-infrastructure --key=./mongodb-search-community.pem "docker.io/mongodb/mongodb-community-search:{VERSION_NUMBER}"

La salida debería ser similar a la siguiente:

Verification for index.docker.io/mongodb/mongodb-community-search:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key
[{"critical":{"identity":{"docker-reference":"docker.io/mongodb/mongodb-community-search:latest"},
 "image":{"docker-manifest-digest":"sha256:b41f73a33aa62a62596b6aeaf4c177e47dc3a5901701f6d8d46f498a45f7ac53"},
 "type":"cosign container image signature"},"optional":null}]

Verify Tarball

Descargar la clave PGP

Ejecute el siguiente comando para guardar la clave PGP como atlas-search.asc:

wget https://pgp.mongodb.com/atlas-search.asc

Agrega la clave a tu llavero

gpg --import atlas-search.asc

Descargar la firma del tarball

Reemplace {VERSION_NUMBER} con la versión de mongot que descargó desde el MongoDB Search en Community Download Center y ejecute el siguiente comando para descargar la firma del tarball para la arquitectura y versión del sistema.

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig

Para descargar una versión diferente, reemplaza las instancias de {VERSION_NUMBER} por el número de versión deseado.

Descargar el tarball

Descarga MongoDB Search en el tarball de Community desde el Centro de descargas de MongoDB.

Verificar el tarball

Replace {VERSION_NUMBER} with your version of mongot and run the following command to verify the tarball:

gpg --verify mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz

gpg --verify mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz

To verify a different version, replace instances of {VERSION_NUMBER} with the desired version number.

La salida debería ser similar a la siguiente:

gpg: Signature made Fri Sep  5 15:37:47 2025 PDT
gpg:                using RSA key 55C58636FD6CEE2B789B6F49516C2412904B6C26
gpg: Good signature from "MongoDB Atlas Search Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 55C5 8636 FD6C EE2B 789B  6F49 516C 2412 904B 6C26

Volver

Verificar la integridad del paquete de MongoDB

Componentes del paquete MongoDB