El equipo de lanzamiento de MongoDB firma digitalmente las versiones de las extensiones de VS Code para certificar que el complemento es una versión válida e inalterada de MongoDB. Puede usar la firma digital para validar el complemento y garantizar que sea una instalación confiable.
Antes de comenzar
Si no tiene instalada la extensión VS Code, descargue el complemento de extensión VS Code desde Página de lanzamientos de GitHub o mercado de extensiones de Visual Studio Code.
Pasos
Descarga el archivo de firma de la extensión de VS Code
Vaya a la página de lanzamientos de MongoDB VS Code y descargue el .sig archivo para su versión de VS Code Extension.
Importar la clave pública de la extensión VS Code
curl https://pgp.mongodb.com/mongodb-vscode.asc | gpg --import
Si la clave se importa correctamente, el comando devuelve:
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Si ya has importado la clave, el comando devuelve:
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
Verificar el complemento
gpg --verify <path_to_signature_file> <path_to_plugin_vsix_file>
Si MongoDB firma el plugin, el comando retorna:
gpg: Signature made Mon Jan 8 19:30:04 2024 CET gpg: using RSA key A505CECC78EC9A688A4811505D55DCA8B92B7040 gpg: Good signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]
Si el paquete está firmado pero la clave de firma no se ha añadido a tu trustdb local, el comando devuelve:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Si el paquete no está firmado correctamente, el comando devuelve un mensaje de error:
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]