volta-cli/volta

Use checksums for cached distributions

Open

#134 aberto em 27 de ago. de 2018

Ver no GitHub
 (1 comment) (2 reactions) (0 assignees)Rust (189 forks)batch import
enhancementgood first issue

Métricas do repositório

Stars
 (8.309 stars)
Métricas de merge de PR
 (Nenhuma PRs mesclada em 30d)

Description

NOTE: this issue predates this project's rename to Volta.

We should verify the checksums of the distributions downloaded by Notion, to:

  • verify the downloaded distro is correct, and
  • verify the cached distro is valid

Node

Node distributions have a corresponding sha256sum file at https://nodejs.org/dist/vx.y.z/SHASUMS256.txt (see https://github.com/nodejs/node#verifying-binaries).

We should download that checksum, and can verify it using the sha2 crate.

Yarn

Short-term, we will need to add checksums to https://github.com/notion-cli/yarn-releases, and verify those.

Long-term, we will probably get yarn from github (at https://github.com/yarnpkg/yarn/releases). But they don't include checksums with those releases, or through the API (e.g. https://api.github.com/repos/yarnpkg/yarn/releases/latest) – not sure what we can use for that.

Guia do colaborador

Direção de pesquisa
Implemente a verificação de checksum para distribuições Node em cache baixando o arquivo SHA256SUMS de nodejs.org e usando a crate sha2 para verificar. Para o Yarn, crie checksums para o repositório em https://github.com/notion cli/yarn releases e verifique os. Verifique a base de código existente para a lógica de download e cache de arquivos, provavelmente no diretório src/.
Pilha de tecnologia
rust
Domain
clideveloper experience
Tipo Issue
Funcionalidade
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
1-2 dias
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Antigo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
Rust programmingSHA256 hashing
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
55