El equipo de lanzamiento de MongoDB firma digitalmente las versiones de la Extensión VS Code para certificar que el plugin es una versión válida y sin alterar de MongoDB. Puedes utilizar la firma digital para validar el plugin y garantizar que la instalación sea confiable.
Antes de comenzar
Si no tiene la extensión de VS Code instalada, descargue el plugin de la extensión de VS Code desde la Página de lanzamientos en GitHub o el marketplace de la extensión Visual Studio Code.
Pasos
Descarga el archivo de firma de la extensión de VS Code
Ve a la Página de versiones de MongoDB para VS Code y descargar la .sig archivo para su versión de VS Code Extension.
Importar la llave pública de la extensión de VS Code
curl https://pgp.mongodb.com/mongodb-vscode.asc | gpg --import
Si la clave se importa correctamente, el comando devuelve:
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Si has importado anteriormente la clave, el comando devuelve:
gpg: key A8130EC3F9F5F923: public key "MongoDB VS Code Signing Key <vscode@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
Verifica el plugin
gpg --verify <path_to_signature_file> <path_to_plugin_vsix_file>
Si MongoDB firma el plugin, el comando retorna:
gpg: Signature made Mon Jan 8 19:30:04 2024 CET gpg: using RSA key A505CECC78EC9A688A4811505D55DCA8B92B7040 gpg: Good signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]
Si el paquete está firmado pero la clave de firma no se ha añadido a tu trustdb local, el comando devuelve:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Si el paquete no está firmado correctamente, el comando devuelve un mensaje de error:
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "MongoDB VS Code Signing Key <vscode@mongodb.com>" [unknown]