Yarn: يؤدي تثبيت Yarn على Ubuntu 18.04.1 LTS إلى ظهور خطأ توقيع غير صالح. مفتاح محتمل منتهي الصلاحية؟

تم إنشاؤها على ١ يناير ٢٠١٩ · 35تعليقات · مصدر: yarnpkg/yarn

ما هو السلوك الحالي؟

محاولة تثبيت الغزل على خادم Ubuntu 18.04.1 LTS جديد وأحصل على الأخطاء التالية:

root<strong i="8">@vps631721</strong>:~# curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
OK
root<strong i="9">@vps631721</strong>:~# apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <[email protected]>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2016-10-30 [S] [expires: 2019-01-01]

.................

root<strong i="10">@vps631721</strong>:~# echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list
deb https://dl.yarnpkg.com/debian/ stable main
root<strong i="11">@vps631721</strong>:~# sudo apt-get update
Hit:1 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:2 http://ppa.launchpad.net/certbot/certbot/ubuntu bionic InRelease
Hit:3 http://nova.clouds.archive.ubuntu.com/ubuntu bionic InRelease
Hit:4 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates InRelease
Get:5 https://dl.yarnpkg.com/debian stable InRelease [13.3 kB]
Hit:6 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-backports InRelease
Hit:7 http://apt.postgresql.org/pub/repos/apt bionic-pgdg InRelease
Err:5 https://dl.yarnpkg.com/debian stable InRelease
  The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
Reading package lists... Done
W: GPG error: https://dl.yarnpkg.com/debian stable InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://dl.yarnpkg.com/debian stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

لا أعرف ما إذا كان السطر sub rsa4096 2016-10-30 [S] [expires: 2019-01-01] (وهو اليوم) عند عمل apt-key list من أي ملاحظة؟

ما هو السلوك المتوقع؟

تثبيت الغزل.

يرجى ذكر node.js والغزل وإصدار نظام التشغيل.

نظام التشغيل Ubuntu 18.04.1 LTS

triaged

مصدر

Hates

👍42 👎1

التعليق الأكثر فائدة

يجب إصلاحه عن طريق https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

الرجاء إعادة تنزيل المفتاح لأنه يحتوي الآن على مفتاح فرعي جديد:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

تنتهي صلاحية المفتاح الفرعي الجديد في 2020-02-02 (شكرًا لاقتراح عدم استخدام 1 يناير ، @ jleclanche)

Daniel15 في ٢ يناير ٢٠١٩

👍141 🎉39 ❤25 🚀13 😄9

ال 35 كومينتر

أوه ، المفتاح قد انتهت صلاحيته اليوم! يجب أن ألقي نظرة بمجرد عودتي من الإجازة (في وقت لاحق اليوم أو غدًا).

Daniel15 في ١ يناير ٢٠١٩

👍18 👎1

نحن نواجه هذه المشكلة حتى اليوم أيضًا.

شكرا على كل ما تبذلونه من المساعدة @ Daniel15.

sharkeyryan في ١ يناير ٢٠١٩

👍1

DanBuild بالفعل: أواجه أيضًا EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> عند إضافة الريبو وتشغيل apt-get update على امتداد Debian.

لاحظ المفتاح الذي تقدمه:

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

لاحظ أن المفتاح الفرعي منتهي الصلاحية هو بالضبط الذي أشار إلى الخطأ.

lukasjuhrich في ١ يناير ٢٠١٩

👍4

@ Daniel15 المفتاح صالح حتى 2019-01-01 حسب https://github.com/yarnpkg/yarn/issues/4253

gbrusella في ١ يناير ٢٠١٩

لقد واجهت نفس المشكلة منذ لحظات قليلة ، ويبدو أنها كانت صالحة حتى عام 2018.
و ... بالمناسبة ، سنة جديدة سعيدة يا شباب ، عمل رائع في Yarn!

AliSawari في ١ يناير ٢٠١٩

👍5

يجب أن يظل نص التثبيت يعمل ، لذا يمكنك استخدامه في الوقت الحالي. سأصلحها في أسرع وقت ممكن ، لكن ذلك لن يكون إلا الليلة حيث أسافر حاليًا.

عادةً ما أقوم بإنشاء مشكلة Github لتناوب المفتاح ، لكنني نسيت أن أفعل ذلك في 2018. سأضيف تذكيرًا في التقويم الخاص بي حتى لا أنسى هذا العام المقبل أيضًا.

Daniel15 في ١ يناير ٢٠١٩

👍3

كإصلاح مؤقت ، ستؤدي إضافة [trusted=yes] إلى إزالة خطأ GPG:

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

guyguy333 في ١ يناير ٢٠١٩

👍12 😕3 🎉1 👎1

كإصلاح مؤقت ، ستؤدي إضافة [trusted=yes] إلى إزالة خطأ GPG:
" deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

لقد أضفت هذا إلى ملف /etc/apt/sources.list.d/yarn.list الخاص بي ... لكن تشغيل sudo apt update لا يزال يعطيني الخطأ. هل هناك شيء آخر يجب أن أفعله؟

daveomcd في ١ يناير ٢٠١٩

👍3

daveomcd أعتقد أنه يأتي كتحذير بمجرد إضافته ، حاول تشغيل sudo apt-get install yarn . كان قادرا على التثبيت بعد ذلك.

Hates في ١ يناير ٢٠١٩

👍1

تسبب هذا في حدوث إخفاقات في التزويد التلقائي (أسطول التنقيب التلقائي في aws) عند رد اتصال برجي غير مرغوب فيه قام بتشغيل دفتر التشغيل الذي قام بتحديث ذاكرة التخزين المؤقت وتسبب في حدوث أعطال في التوفير. حان الوقت لتقوية كتيبات اللعب الخاصة بي ، كن حذرًا يا رفاق!

rromanchuk في ١ يناير ٢٠١٩

👍1

أنا حقا آسف لكسرها. هذا خطأي بنسبة 100٪. عادةً ما أقوم بإنشاء مشكلة Github للتناوب السنوي للمفاتيح (انظر # 4253 للإصدار السابق) ولكن نسيت إنشاء واحدة في العام الماضي وقد تراجعت عن ذهني هذا العام.

حلdaveomcd جيد. ما زلت على بعد بضع ساعات من المنزل ، لكنني سأقوم بتدوير المفتاح ونشر المفتاح الجديد في أقرب وقت ممكن. سأقوم أيضًا بتهيئة بعض المراقبة حتى نحصل على تنبيهات إذا كان المفتاح في غضون 90 يومًا من انتهاء الصلاحية.

لاحظ أنه بالنسبة لأنظمة CI ، من الناحية المثالية ، لا يجب عليك تثبيت Yarn طازجًا على كل بنية. بدلاً من ذلك ، استخدم صورة Docker مع تثبيت جميع أدوات البناء الخاصة بك. :)

Daniel15 في ١ يناير ٢٠١٩

❤18 👍12

@ Daniel15 لا تقلق ، فنحن جميعًا نقدر الوقت الذي

kojiromike في ١ يناير ٢٠١٩

❤16

لاحظ أنه بالنسبة لأنظمة CI ، من الناحية المثالية ، لا يجب عليك تثبيت Yarn طازجًا على كل بنية. بدلاً من ذلك ، استخدم صورة Docker مع تثبيت جميع أدوات البناء الخاصة بك. :)

أو تخزينها مؤقتًا ... هذه هي الطريقة التي استطعت بها التغلب على هذه المشكلة في Circle CI ... وبهذه الطريقة إذا فشل تثبيت الأحدث ، ما زلت أحصل على خيوط للرجوع إليها.

generalredneck في ٢ يناير ٢٠١٩

أعتقد أن حاوية Node.js Docker من CircleCI تأتي مع خيوط مثبتة مسبقًا.

أرسلت من هاتفي.

في الثلاثاء ، 1 يناير 2019 ، الساعة 4:12 مساءً ، كتب ألان تشابيل < [email protected] :

لاحظ أنه بالنسبة لأنظمة CI ، من الناحية المثالية ، لا يجب عليك تثبيت Yarn حديثًا
كل بناء. بدلاً من ذلك ، استخدم صورة Docker مع جميع أدوات البناء الخاصة بك
المثبتة. :)
أو تخزينها مؤقتًا ... هذه هي الطريقة التي تمكنت من حل هذه المشكلة في Circle CI ...
بهذه الطريقة إذا فشل تثبيت الأحدث ، ما زلت أحصل على خيوط لأتراجع عنها.
-
أنت تتلقى هذا لأنه تم ذكرك.
قم بالرد على هذا البريد الإلكتروني مباشرة ، وقم بعرضه على GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 ، أو كتم الصوت
الخيط
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Daniel15 في ٢ يناير ٢٠١٩

👍3

صيح،
والآن يبدو أن لديهم متغيرًا لمتصفحات العقدة على حاويات PHP أيضًا والذي يتضمن أيضًا خيوطًا ... وهو ما لم يكن الحال دائمًا ... حان الوقت لتحديث بعض علامات حاوية عامل الإرساء.

generalredneck في ٢ يناير ٢٠١٩

عادةً ما أقوم بإنشاء مشكلة Github لتناوب المفتاح ، لكنني نسيت أن أفعل ذلك في 2018. سأضيف تذكيرًا في التقويم الخاص بي حتى لا أنسى هذا العام المقبل أيضًا.

أود أن أوصي بإنهاء صلاحية المفتاح في تاريخ غير الأول من كانون الثاني (يناير) ... وبهذه الطريقة إذا انتهت صلاحيته ، فلن يكون ذلك خلال فترة عطلة :)

jleclanche في ٢ يناير ٢٠١٩

👍20

أعتقد أن هذا ربما تم الإبلاغ عنه قبل يناير 1 حتى ..
https://github.com/yarnpkg/yarn/issues/6861

traceypooh في ٢ يناير ٢٠١٩

يجب إصلاحه عن طريق https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

الرجاء إعادة تنزيل المفتاح لأنه يحتوي الآن على مفتاح فرعي جديد:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

تنتهي صلاحية المفتاح الفرعي الجديد في 2020-02-02 (شكرًا لاقتراح عدم استخدام 1 يناير ، @ jleclanche)

Daniel15 في ٢ يناير ٢٠١٩

👍141 🎉39 ❤25 🚀13 😄9

@ Daniel15 شكرًا على وقت الاستجابة السريع ، يمكنني التأكد من أنه يعمل =)

jleclanche في ٢ يناير ٢٠١٩

👍6

نعم ، لقد راجعت للتو مع Debian و Ubuntu VMs الجديدة وتحققت من أنها تعمل الآن. شكرا لصبرك!

كان خطئي هنا هو افتراض أن apt / dpkg سيظل على ما يرام مع المفتاح / التوقيع على الرغم من انتهاء صلاحيته ، حيث تم توقيع الريبو بينما كان المفتاح لا يزال ساريًا (منذ التحديث الأخير كان في نوفمبر). أعتقد أن هذا ما يفعله GPG "الفانيليا" ، وكذلك كيف يعمل على Windows:

تسمح أدوات التوقيع من Microsoft للمطورين بلصق الطوابع الزمنية في نفس الوقت الذي يقومون فيه بلصق توقيعات رمز المصادقة. يسمح ختم الوقت بإمكانية التحقق من توقيعات رمز المصادقة حتى بعد انتهاء صلاحية الشهادات المستخدمة للتوقيع.

https://docs.microsoft.com/ar-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

سأتابع ذلك عن طريق إنشاء بعض البرامج النصية للمراقبة التي ستنبهنا عندما يقترب المفتاح بشكل خطير من انتهاء الصلاحية.

Daniel15 في ٢ يناير ٢٠١٩

🎉13 ❤3 👍3

تسمح أدوات التوقيع من Microsoft للمطورين بلصق الطوابع الزمنية في نفس الوقت الذي يقومون فيه بلصق توقيعات رمز المصادقة. يسمح ختم الوقت بإمكانية التحقق من توقيعات رمز المصادقة حتى بعد انتهاء صلاحية الشهادات المستخدمة للتوقيع.

أعتقد أنه يجب أن يعمل هكذا! ربما تقرير خطأ في دبيان؟

raphaelpereira في ٢ يناير ٢٠١٩

👍1

لا يزال لديك تحذير مع الريبو الليلي
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

abdullaev في ١١ يناير ٢٠١٩

لقد أنشأت مفتاحًا فرعيًا جديدًا لـ GPG من أجل الريبو الليلي ، لكني أواجه مشكلات مع Aptly (# 6904) مما يجعل من المستحيل إعادة نشر الريبو: /

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Daniel15 في ١١ يناير ٢٠١٩

هذا يجب ان يصلح الان!

Daniel15 في ١١ يناير ٢٠١٩

👍5

أهلا،

لا تزال المشكلة هنا مع هذا في /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

تحرير: لا تهتم ، إعادة تنزيل المفتاح إصلاحه. :)

manuel-uberti في ١١ يناير ٢٠١٩

👍1

يمكنني دعم التعليق أعلاه. تم تغيير المفتاح منذ التناوب السابق قبل 9 أيام وكان لا بد من إعادة تنزيله.

bvnierop في ١١ يناير ٢٠١٩

👍5

لقد أضفت مفتاحًا فرعيًا جديدًا للبنيات الليلية ، ولكن لا ينبغي أن يكون ذلك
أثر على الريبو المستقر. سأضطر إلى النظر في ما حدث هنا ...

أرسلت من هاتفي.

في الجمعة ، 11 كانون الثاني (يناير) 2019 ، الساعة 1:37 صباحًا كتب bvnierop < [email protected] :

يمكنني دعم التعليق أعلاه. المفتاح تغير منذ السابق
التناوب قبل 9 أيام وكان لا بد من إعادة التنزيل.
-
أنت تتلقى هذا لأنه تم ذكرك.
قم بالرد على هذا البريد الإلكتروني مباشرة ، وقم بعرضه على GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 ، أو كتم الصوت
الخيط
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

DanBuild في ١١ يناير ٢٠١٩

👍1

تم تغيير المفتاح منذ الدوران السابق قبل 9 أيام

التحقيق في https://github.com/yarnpkg/yarn/issues/6916. يبدو حاليًا أنه خطأ مناسب: https://github.com/aptly-dev/aptly/issues/805

Daniel15 في ١٤ يناير ٢٠١٩

لقد حللت هنا بالأوامر:
sudo pkill dirmngr ؛ dirmngr --debug-all - daemon - حل قياسي
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key add gpg