Yarn: Установка Yarn на Ubuntu 18.04.1 LTS дает ошибку неверной подписи. Возможный срок действия ключа?

Ооо, возможно, срок действия ключа истек сегодня! Придется взглянуть, когда вернусь из отпуска (сегодня или завтра).

У нас есть эта проблема и сегодня.

Спасибо за вашу помощь @ Daniel15.

@DanBuild Действительно: я также сталкиваюсь с EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> при добавлении репо и запуске apt-get update на debian stretch.

Обратите внимание на предоставленный вами ключ:

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

Обратите внимание, что подключ с истекшим сроком действия - это именно тот подключ, на который была указана ошибка.

@ Daniel15 Ключ действителен до 01.01.2019 согласно https://github.com/yarnpkg/yarn/issues/4253

У меня была такая же проблема несколько минут назад, похоже, она действовала до 2018 года.
и ох ... кстати, с Новым годом, ребята, отличная работа в Yarn!

Сценарий установки должен по-прежнему работать, так что вы можете использовать его сейчас. Я исправлю это, как только смогу, но не раньше, чем сегодня вечером, так как я сейчас в путешествии.

Обычно я создаю проблему на Github для ротации ключей, но я забыл сделать это в 2018 году. Я собираюсь добавить напоминание в свой календарь, чтобы не забыть об этом и в следующем году.

В качестве временного исправления добавление [trusted=yes] устранит ошибку GPG:

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

В качестве временного исправления добавление [trusted=yes] устранит ошибку GPG:

` deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Я добавил это в свой файл /etc/apt/sources.list.d/yarn.list ... но запуск sudo apt update по-прежнему дает мне ошибку. Что еще мне нужно сделать?

@daveomcd Я считаю, что после добавления это просто появляется как предупреждение, попробуйте запустить sudo apt-get install yarn . После этого его удалось установить.

Это вызвало сбои в моей автоматической инициализации (спотовый парк с автоматическим масштабированием aws), когда обратный вызов ansible tower запускал playbook, который обновлял кеш и вызывал сбои подготовки. Пора ужесточить мои пьесы, будьте осторожны, ребята!

Мне очень жаль, что я его нарушил. Это 100% моя вина. Обычно я создаю выпуск Github для ежегодной ротации ключей (см. № 4253 для предыдущего выпуска), но забыл создать его в прошлом году, и в этом году я просто забыл об этом.

Обходной путь

Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn в новой версии для каждой сборки. Вместо этого используйте образ Docker со всеми установленными инструментами сборки. :)

@ Daniel15 Не беспокойтесь, мы все ценим время, которое вы посвящаете полностью добровольно и бесплатно поддержке программного обеспечения с открытым исходным кодом.

Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn в новой версии для каждой сборки. Вместо этого используйте образ Docker со всеми установленными инструментами сборки. :)

Или кешировать ... Вот так я обошел эту проблему в Circle CI ... таким образом, если установка новейшего не удалась, у меня все еще есть пряжа для отката.

Я думаю, что контейнер Docker для Node.js от CircleCI поставляется с предустановленным Yarn.

Отправлено с телефона.

Во вторник, 1 января 2019 г., 16:12 Аллан Чаппелл < [email protected] написал:

Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn fresh на
каждая сборка. Вместо этого используйте образ Docker со всеми инструментами сборки.
установлены. :)

Или кешировать ... Вот так я обошел эту проблему на Circle CI ...
таким образом, если установить новейшую версию не удастся, у меня все равно будет запасной вариант.

-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 или отключить звук
нить
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Верный,
и теперь, по-видимому, у них есть вариант node-browser для контейнеров PHP, который также включает пряжу ... что не всегда было так ... пора обновить некоторые теги контейнера докеров.

Обычно я создаю проблему на Github для ротации ключей, но я забыл сделать это в 2018 году. Я собираюсь добавить напоминание в свой календарь, чтобы не забыть об этом и в следующем году.

Я бы порекомендовал истечь срок действия ключа не в 1 января ... таким образом, если он действительно истечет, это не в праздничный период :)

думаю, что об этом могло быть сообщено раньше, чем даже 1 января ..
https://github.com/yarnpkg/yarn/issues/6861

Должно быть исправлено https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

Пожалуйста, повторно загрузите ключ, поскольку теперь он содержит новый подраздел:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

Срок действия нового подключа истекает 02.02.2020 (спасибо за предложение не использовать 1 января, @jleclanche)

@ Daniel15 Спасибо за быстрое время отклика, могу подтвердить, что работает =)

Да, я только что дважды проверил свежие виртуальные машины Debian и Ubuntu и убедился, что теперь они работают. Спасибо за ваше терпение!

Моя ошибка здесь заключалась в предположении, что apt / dpkg все еще будет в порядке с ключом / подписью, даже если срок его действия истек, поскольку репо было подписано, пока ключ был еще действителен (поскольку последнее обновление было в ноябре). Я думаю, что это то, что делает ванильный GPG, а также то, как он работает в Windows:

Инструменты подписи от Microsoft позволяют разработчикам ставить отметки времени одновременно с подписями Authenticode. Отметка времени позволяет проверять подписи Authenticode даже после истечения срока действия сертификатов, используемых для подписи.

https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

Я продолжу это, создав несколько сценариев мониторинга, которые будут предупреждать нас, когда срок действия ключа опасно приближается к истечению.

Инструменты подписи от Microsoft позволяют разработчикам ставить отметки времени одновременно с подписями Authenticode. Отметка времени позволяет проверять подписи Authenticode даже после истечения срока действия сертификатов, используемых для подписи.

Думаю, так должно работать! Вероятно, сообщение об ошибке в Debian?

Еще есть предупреждение с ночным репо
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

Я создал новый подраздел GPG для ночного репо, но у меня возникли проблемы с Aptly (# 6904), что не позволяет повторно опубликовать репо: /

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Это должно быть исправлено немедленно!

Привет,

проблема все еще здесь, в моем /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

Изменить: неважно, повторная загрузка ключа исправила. :)

Я могу поддержать приведенный выше комментарий. Ключ изменился с момента предыдущей ротации 9 дней назад, и его пришлось повторно загрузить.

Я добавил новый подключ для ночных сборок, но в нем НЕ ДОЛЖНО быть
повлияло на стабильное репо. Придется разобраться, что здесь произошло ...

Отправлено с телефона.

Пт, 11 января 2019 г., 01:37 bvnierop < [email protected] написал:

Я могу поддержать приведенный выше комментарий. Ключ изменился по сравнению с предыдущим
вращение 9 дней назад, и его пришлось перекачивать.

-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 или отключить звук
нить
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

Ключ изменился с момента предыдущей ротации 9 дней назад

Расследование на https://github.com/yarnpkg/yarn/issues/6916. В настоящее время это похоже на ошибку Aptly: https://github.com/aptly-dev/aptly/issues/805

Я решил здесь с помощью команд:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key добавить gpg

Обновленный ключ, который я загрузил 4 дня назад (который включал новый подключ), сегодня снова перестал работать.

Извини за это ... Теперь все должно быть в порядке. Это отслеживалось в № 6916.

У меня есть панель мониторинга, отслеживающая даты истечения срока действия ключей: https://dash.d.sb/d/0PYZ8W_iz/yarn, и я настрою для нее мониторинг.

снова истек.

The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

решил проблему

Я продлил срок действия несколько недель назад, но вам нужно обновить его вручную, так как я еще не настроил его на автоматическое обновление. См. № 7866