Verificar a integridade dos pacotes mongot

O MongoDB Search e a Vector Search com o MongoDB Community estão em versão prévia. O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para saber mais, consulte Recursos de visualização.

A equipe de pesquisa do MongoDB assina digitalmente todos os pacotes de software para certificar que um determinado pacote mongot é uma versão mongot válida e inalterada. Antes de instalar o mongot, você deve validar a imagem do contêiner ou o tarball.

Verificar imagem do container do Docker

Baixe o arquivo PEM

Execute o seguinte comando para salvar o arquivo PEM como mongodb-search-community.pem:

curl -fsSL https://cosign.mongodb.com/mongodb-search-community.pem -o mongodb-search-community.pem

Verificar a imagem do container

Substitua {VERSION_NUMBER} pela versão do mongot que você baixou do MongoDB pesquisa no Community Download Center e execute o seguinte comando para verificar a imagem do contêiner:

COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify  --private-infrastructure --key=./mongodb-search-community.pem "docker.io/mongodb/mongodb-community-search:{VERSION_NUMBER}"

O resultado deve ser semelhante ao seguinte:

Verification for index.docker.io/mongodb/mongodb-community-search:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key
[{"critical":{"identity":{"docker-reference":"docker.io/mongodb/mongodb-community-search:latest"},
 "image":{"docker-manifest-digest":"sha256:b41f73a33aa62a62596b6aeaf4c177e47dc3a5901701f6d8d46f498a45f7ac53"},
 "type":"cosign container image signature"},"optional":null}]

Verificar Tarball

Baixe a chave PGP

Execute o seguinte comando para salvar a chave PGP como atlas-search.asc:

wget https://pgp.mongodb.com/atlas-search.asc

Adicione a chave ao seu chaveiro

gpg --import atlas-search.asc

Baixar a assinatura tarball

Substitua {VERSION_NUMBER} pela versão do mongot que você baixou do MongoDB pesquisa no Community Download Center e execute o seguinte comando para baixar a assinatura tarball para a arquitetura e versão do sistema.

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig

Para baixar uma versão diferente, substitua instâncias do {VERSION_NUMBER} pelo número da versão desejada.

Baixar o tarball

Baixe o tarball da pesquisa MongoDB Community no Centro de Download do MongoDB.

Verificar o tarball

Substitua {VERSION_NUMBER} pela sua versão do mongot e execute o seguinte comando para verificar o tarball:

gpg --verify mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz

gpg --verify mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz

Para verificar uma versão diferente, substitua as instâncias de {VERSION_NUMBER} pelo número da versão desejada.

O resultado deve ser semelhante ao seguinte:

gpg: Signature made Fri Sep  5 15:37:47 2025 PDT
gpg:                using RSA key 55C58636FD6CEE2B789B6F49516C2412904B6C26
gpg: Good signature from "MongoDB Atlas Search Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 55C5 8636 FD6C EE2B 789B  6F49 516C 2412 904B 6C26

Voltar

Verificar integridade do pacote MongoDB

Componentes do pacote MongoDB