Yarn: Die Installation von Yarn unter Ubuntu 18.04.1 LTS führt zu einem ungültigen Signaturfehler. Möglicherweise abgelaufener Schlüssel?

Ohh, der Schlüssel ist vielleicht heute abgelaufen! Muss ich mir mal anschauen wenn ich aus dem Urlaub zurück bin (heute später oder morgen).

Dieses Problem haben wir seit heute auch.

Danke für all deine Hilfe @Daniel15.

@DanBuild Tatsächlich: Ich erlebe auch ein EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> wenn ich das Repo hinzufüge und apt-get update unter Debian Stretch ausführe.

Notieren Sie sich den von Ihnen bereitgestellten Schlüssel:

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

Beachten Sie, dass der abgelaufene Unterschlüssel genau der ist, der auf den Fehler verwiesen hat.

@Daniel15 Der Schlüssel ist gültig bis 01.01.2019 laut https://github.com/yarnpkg/yarn/issues/4253

Ich hatte vor ein paar Augenblicken das gleiche Problem, es scheint bis 2018 gültig zu sein.
und oh... übrigens, Frohes neues Jahr Leute, tolle Arbeit bei Yarn!

Das Installationsskript sollte noch funktionieren, also können Sie es vorerst verwenden. Ich werde es so schnell wie möglich reparieren, aber das wird erst heute Abend sein, da ich gerade auf Reisen bin.

Normalerweise erstelle ich eine Github-Ausgabe für die Schlüsselrotation, aber das habe ich 2018 vergessen. Ich werde meinem Kalender eine Erinnerung hinzufügen, damit ich dies auch nächstes Jahr nicht vergesse.

Als vorübergehende Lösung wird das Hinzufügen von [trusted=yes] den GPG-Fehler beseitigen:

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Als vorübergehende Lösung wird das Hinzufügen von [trusted=yes] den GPG-Fehler beseitigen:

` deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Ich habe dies zu meiner Datei /etc/apt/sources.list.d/yarn.list hinzugefügt ... aber das Ausführen von sudo apt update gibt mir immer noch den Fehler. Muss ich noch etwas tun?

@daveomcd Ich glaube, es wird nur als Warnung sudo apt-get install yarn . Danach konnte es installiert werden.

Dies führte zu Fehlern in meiner automatischen Bereitstellung (Aws Autoscaling-Spot-Flotte), als ein ansible Tower-Callback ein Playbook ausführte, das den Cache aktualisierte und Bereitstellungsfehler verursachte. Es ist Zeit, meine Playbooks zu härten, seid vorsichtig, Leute!

Es tut mir wirklich leid, dass ich es kaputt gemacht habe. Das ist zu 100% meine Schuld. Normalerweise erstelle ich eine Github-Ausgabe für die jährliche Schlüsselrotation (siehe #4253 für die vorherige Ausgabe), aber ich habe letztes Jahr vergessen, eine zu erstellen, und es ist mir dieses Jahr einfach ausgefallen.

Die Problemumgehung von @daveomcd ist gut. Ich bin noch ein paar Stunden von zu Hause weg, aber ich werde den Schlüssel drehen und den neuen so schnell wie möglich veröffentlichen. Ich werde auch eine Überwachung konfigurieren, damit wir Warnungen erhalten, wenn der Schlüssel innerhalb von 90 Tagen nach Ablauf ist.

Beachten Sie, dass Sie Yarn bei CI-Systemen idealerweise nicht bei jedem Build neu installieren sollten. Verwenden Sie stattdessen ein Docker-Image, auf dem alle Ihre Build-Tools installiert sind. :)

@Daniel15 Keine Sorge, wir alle schätzen die Zeit, die Sie völlig freiwillig und kostenlos der Pflege von Open-Source-Software widmen.

Beachten Sie, dass Sie Yarn bei CI-Systemen idealerweise nicht bei jedem Build neu installieren sollten. Verwenden Sie stattdessen ein Docker-Image, auf dem alle Ihre Build-Tools installiert sind. :)

Oder zwischenspeichern... So habe ich dieses Problem auf Circle CI umgangen... auf diese Weise habe ich immer noch ein Garn, auf das ich zurückgreifen kann, wenn die Installation des neuesten fehlschlägt.

Ich denke, der Node.js-Docker-Container von CircleCI wird mit vorinstalliertem Yarn geliefert.

Gesendet von meinem Handy.

Am Di, 01.01.2019, 16:12 Uhr schrieb Allan Chappell < [email protected] :

Beachten Sie, dass Sie Yarn bei CI-Systemen idealerweise nicht frisch installieren sollten
jedes bauen. Verwenden Sie stattdessen ein Docker-Image mit all Ihren Build-Tools
Eingerichtet. :)

Oder zwischenspeichern... So habe ich dieses Problem auf Circle CI umgangen...
Auf diese Weise habe ich immer noch ein Garn, auf das ich zurückgreifen kann, wenn die Installation des neuesten fehlschlägt.

—
Sie erhalten dies, weil Sie erwähnt wurden.
Antworten Sie direkt auf diese E-Mail und zeigen Sie sie auf GitHub an
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 oder stumm
der Faden
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Richtig,
und jetzt haben sie anscheinend auch eine Node-Browser-Variante für die PHP-Container, die auch Garn enthält ... was nicht immer der Fall war ... Zeit, einige Docker-Container-Tags zu aktualisieren.

Normalerweise erstelle ich eine Github-Ausgabe für die Schlüsselrotation, aber das habe ich 2018 vergessen. Ich werde meinem Kalender eine Erinnerung hinzufügen, damit ich dies auch nächstes Jahr nicht vergesse.

Ich würde gerne empfehlen, den Schlüssel an einem anderen Datum als dem 1. Januar ablaufen zu lassen. Wenn er also abläuft, ist es nicht während einer Ferienzeit :)

Ich denke, dies wurde möglicherweise sogar vor dem 1. Januar gemeldet.
https://github.com/yarnpkg/yarn/issues/6861

Sollte von https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a behoben werden

Bitte laden Sie den Schlüssel erneut herunter, da er jetzt einen neuen Unterschlüssel enthält:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

Der neue Unterschlüssel läuft am 02.02.2020 ab (danke für den Vorschlag, den 1. Januar nicht zu verwenden, @jleclanche)

@ Daniel15 Danke für die schnelle Reaktionszeit, ich kann bestätigen, dass es funktioniert =)

Ja, ich habe gerade mit frischen Debian- und Ubuntu-VMs überprüft und überprüft, ob es jetzt funktioniert. Danke für Ihre Geduld!

Mein Fehler hier war, dass apt/dpkg mit dem Schlüssel/der Signatur immer noch in Ordnung wäre, obwohl sie abgelaufen ist, da das Repo signiert wurde, während der Schlüssel noch gültig war (da das letzte Update im November war). Ich denke, das macht 'vanilla' GPG und funktioniert auch unter Windows:

Signiertools von Microsoft ermöglichen es Entwicklern, Zeitstempel gleichzeitig mit Authenticode-Signaturen anzubringen. Durch die Zeitstempelung sind Authenticode-Signaturen auch nach Ablauf der zur Signatur verwendeten Zertifikate verifizierbar.

https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

Ich werde dem nachgehen, indem ich einige Überwachungsskripte erstelle, die uns warnen, wenn der Schlüssel gefährlich kurz vor dem Ablaufen steht.

Signiertools von Microsoft ermöglichen es Entwicklern, Zeitstempel gleichzeitig mit Authenticode-Signaturen anzubringen. Durch die Zeitstempelung sind Authenticode-Signaturen auch nach Ablauf der zur Signatur verwendeten Zertifikate verifizierbar.

Ich denke, so sollte es funktionieren! Wahrscheinlich ein Fehlerbericht zu Debian?

Habe immer noch die Warnung mit Nightly Repo
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

Ich habe einen neuen GPG-Unterschlüssel für das nächtliche Repository generiert, aber ich habe Probleme mit Aptly (#6904), was es unmöglich macht, das Repository erneut zu veröffentlichen :/

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Das sollte jetzt behoben sein!

Hi,

das Problem ist immer noch hier in meinem /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

Edit: egal, das erneute Herunterladen des Schlüssels hat das Problem behoben. :)

Dem obigen Kommentar kann ich nur zustimmen. Der Schlüssel hat sich seit der letzten Rotation vor 9 Tagen geändert und musste erneut heruntergeladen werden.

Ich habe einen neuen Unterschlüssel für die nächtlichen Builds hinzugefügt, aber das sollte NICHT sein
beeinflusste das stabile Repo. Ich muss mal schauen was hier passiert ist...

Gesendet von meinem Handy.

Am Fr, 11. Jan 2019, 01:37 AM schrieb bvnierop < [email protected] :

Dem obigen Kommentar kann ich nur zustimmen. Der Schlüssel hat sich seit dem vorherigen geändert
Rotation vor 9 Tagen und musste neu heruntergeladen werden.

—
Sie erhalten dies, weil Sie erwähnt wurden.
Antworten Sie direkt auf diese E-Mail und zeigen Sie sie auf GitHub an
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 oder stumm
der Faden
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

Der Schlüssel hat sich seit der letzten Rotation vor 9 Tagen geändert

Untersuche in https://github.com/yarnpkg/yarn/issues/6916. Derzeit sieht es nach einem Aptly-Bug aus: https://github.com/aptly-dev/aptly/issues/805

Ich habe hier mit den Befehlen gelöst:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key gpg hinzufügen

Der überarbeitete Schlüssel, den ich vor 4 Tagen heruntergeladen habe (einschließlich des neuen Unterschlüssels), funktioniert heute nicht mehr.

Tut mir leid... Es sollte jetzt in Ordnung sein. Das wurde in #6916 verfolgt.

Ich habe jetzt ein Dashboard, das die wichtigsten Ablaufdaten überwacht: https://dash.d.sb/d/0PYZ8W_iz/yarn und werde die Überwachung dafür konfigurieren.

wieder abgelaufen.

The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

Problem gelöst

Ich habe den Ablauf vor ein paar Wochen verlängert, aber Sie müssen es manuell aktualisieren, da ich es noch nicht für automatisches Update konfiguriert habe. Siehe #7866