パッケージ署名

GitLabで作成されるLinuxパッケージはOmnibusを使って作成されます。GitLabは独自のフォークでdebsigs 、DEB署名を追加しました。

RPM署名の既存の機能と組み合わせることで、GitLabはDEBまたはRPMを使用して、サポートされているすべてのディストリビューションに対して署名されたパッケージを提供することができます。

これらのパッケージは、omnibus-gitlab プロジェクトにあるように、GitLab CI プロセスによって、https://packages.gitlab.com に配送される前に生成され、コミュニティに配送される前にパッケージが変更されていないことを保証します。

GnuPG公開鍵

すべてのパッケージは、その形式に適した方法でGnuPGで署名されています。これらのパッケージの署名に使われた鍵はMIT PGP 公開鍵サーバ 0x3cfcf9baf27eab47にあります。

署名の検証

GitLab パッケージの署名を検証する方法はPackage Signaturesにあります。

GPG 署名管理

GitLab がパッケージ署名用の GPG 鍵をどのように管理しているかについての情報は、ランブックにあります。