Каково текущее поведение?
Попытка установить yarn на новый сервер Ubuntu 18.04.1 LTS, и я получаю следующие ошибки:
root<strong i="8">@vps631721</strong>:~# curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
OK
root<strong i="9">@vps631721</strong>:~# apt-key list
/etc/apt/trusted.gpg
--------------------
pub rsa4096 2016-10-05 [SC]
72EC F46A 56B4 AD39 C907 BBB7 1646 B01B 86E5 0310
uid [ unknown] Yarn Packaging <[email protected]>
sub rsa4096 2016-10-05 [E]
sub rsa4096 2016-10-30 [S] [expires: 2019-01-01]
.................
root<strong i="10">@vps631721</strong>:~# echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list
deb https://dl.yarnpkg.com/debian/ stable main
root<strong i="11">@vps631721</strong>:~# sudo apt-get update
Hit:1 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:2 http://ppa.launchpad.net/certbot/certbot/ubuntu bionic InRelease
Hit:3 http://nova.clouds.archive.ubuntu.com/ubuntu bionic InRelease
Hit:4 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates InRelease
Get:5 https://dl.yarnpkg.com/debian stable InRelease [13.3 kB]
Hit:6 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-backports InRelease
Hit:7 http://apt.postgresql.org/pub/repos/apt bionic-pgdg InRelease
Err:5 https://dl.yarnpkg.com/debian stable InRelease
The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
Reading package lists... Done
W: GPG error: https://dl.yarnpkg.com/debian stable InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://dl.yarnpkg.com/debian stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
Я не знаю, имеет ли значение строка sub rsa4096 2016-10-30 [S] [expires: 2019-01-01]
(которая является сегодня) при выполнении apt-key list
?
Какое ожидаемое поведение?
Пряжа устанавливается.
Пожалуйста, укажите ваш node.js, yarn и версию операционной системы.
Ubuntu 18.04.1 LTS
Ооо, возможно, срок действия ключа истек сегодня! Придется взглянуть, когда вернусь из отпуска (сегодня или завтра).
У нас есть эта проблема и сегодня.
Спасибо за вашу помощь @ Daniel15.
@DanBuild Действительно: я также сталкиваюсь с EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
при добавлении репо и запуске apt-get update
на debian stretch.
Обратите внимание на предоставленный вами ключ:
$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
72ECF46A56B4AD39C907BBB71646B01B86E50310
uid Yarn Packaging <[email protected]>
sub rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]
Обратите внимание, что подключ с истекшим сроком действия - это именно тот подключ, на который была указана ошибка.
@ Daniel15 Ключ действителен до 01.01.2019 согласно https://github.com/yarnpkg/yarn/issues/4253
У меня была такая же проблема несколько минут назад, похоже, она действовала до 2018 года.
и ох ... кстати, с Новым годом, ребята, отличная работа в Yarn!
Сценарий установки должен по-прежнему работать, так что вы можете использовать его сейчас. Я исправлю это, как только смогу, но не раньше, чем сегодня вечером, так как я сейчас в путешествии.
Обычно я создаю проблему на Github для ротации ключей, но я забыл сделать это в 2018 году. Я собираюсь добавить напоминание в свой календарь, чтобы не забыть об этом и в следующем году.
В качестве временного исправления добавление [trusted=yes]
устранит ошибку GPG:
deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main
В качестве временного исправления добавление
[trusted=yes]
устранит ошибку GPG:`
deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main
Я добавил это в свой файл /etc/apt/sources.list.d/yarn.list ... но запуск sudo apt update по-прежнему дает мне ошибку. Что еще мне нужно сделать?
@daveomcd Я считаю, что после добавления это просто появляется как предупреждение, попробуйте запустить sudo apt-get install yarn
. После этого его удалось установить.
Это вызвало сбои в моей автоматической инициализации (спотовый парк с автоматическим масштабированием aws), когда обратный вызов ansible tower запускал playbook, который обновлял кеш и вызывал сбои подготовки. Пора ужесточить мои пьесы, будьте осторожны, ребята!
Мне очень жаль, что я его нарушил. Это 100% моя вина. Обычно я создаю выпуск Github для ежегодной ротации ключей (см. № 4253 для предыдущего выпуска), но забыл создать его в прошлом году, и в этом году я просто забыл об этом.
Обходной путь
Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn в новой версии для каждой сборки. Вместо этого используйте образ Docker со всеми установленными инструментами сборки. :)
@ Daniel15 Не беспокойтесь, мы все ценим время, которое вы посвящаете полностью добровольно и бесплатно поддержке программного обеспечения с открытым исходным кодом.
Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn в новой версии для каждой сборки. Вместо этого используйте образ Docker со всеми установленными инструментами сборки. :)
Или кешировать ... Вот так я обошел эту проблему в Circle CI ... таким образом, если установка новейшего не удалась, у меня все еще есть пряжа для отката.
Я думаю, что контейнер Docker для Node.js от CircleCI поставляется с предустановленным Yarn.
Отправлено с телефона.
Во вторник, 1 января 2019 г., 16:12 Аллан Чаппелл < [email protected] написал:
Обратите внимание, что для систем CI в идеале не следует устанавливать Yarn fresh на
каждая сборка. Вместо этого используйте образ Docker со всеми инструментами сборки.
установлены. :)Или кешировать ... Вот так я обошел эту проблему на Circle CI ...
таким образом, если установить новейшую версию не удастся, у меня все равно будет запасной вариант.-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 или отключить звук
нить
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.
Верный,
и теперь, по-видимому, у них есть вариант node-browser для контейнеров PHP, который также включает пряжу ... что не всегда было так ... пора обновить некоторые теги контейнера докеров.
Обычно я создаю проблему на Github для ротации ключей, но я забыл сделать это в 2018 году. Я собираюсь добавить напоминание в свой календарь, чтобы не забыть об этом и в следующем году.
Я бы порекомендовал истечь срок действия ключа не в 1 января ... таким образом, если он действительно истечет, это не в праздничный период :)
думаю, что об этом могло быть сообщено раньше, чем даже 1 января ..
https://github.com/yarnpkg/yarn/issues/6861
Должно быть исправлено https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.
Пожалуйста, повторно загрузите ключ, поскольку теперь он содержит новый подраздел:
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
Срок действия нового подключа истекает 02.02.2020 (спасибо за предложение не использовать 1 января, @jleclanche)
@ Daniel15 Спасибо за быстрое время отклика, могу подтвердить, что работает =)
Да, я только что дважды проверил свежие виртуальные машины Debian и Ubuntu и убедился, что теперь они работают. Спасибо за ваше терпение!
Моя ошибка здесь заключалась в предположении, что apt / dpkg все еще будет в порядке с ключом / подписью, даже если срок его действия истек, поскольку репо было подписано, пока ключ был еще действителен (поскольку последнее обновление было в ноябре). Я думаю, что это то, что делает ванильный GPG, а также то, как он работает в Windows:
Инструменты подписи от Microsoft позволяют разработчикам ставить отметки времени одновременно с подписями Authenticode. Отметка времени позволяет проверять подписи Authenticode даже после истечения срока действия сертификатов, используемых для подписи.
https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures
Я продолжу это, создав несколько сценариев мониторинга, которые будут предупреждать нас, когда срок действия ключа опасно приближается к истечению.
Инструменты подписи от Microsoft позволяют разработчикам ставить отметки времени одновременно с подписями Authenticode. Отметка времени позволяет проверять подписи Authenticode даже после истечения срока действия сертификатов, используемых для подписи.
Думаю, так должно работать! Вероятно, сообщение об ошибке в Debian?
Еще есть предупреждение с ночным репо
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.
Я создал новый подраздел GPG для ночного репо, но у меня возникли проблемы с Aptly (# 6904), что не позволяет повторно опубликовать репо: /
18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found
Это должно быть исправлено немедленно!
Привет,
проблема все еще здесь, в моем /etc/apt/sources.list.d
:
deb https://dl.yarnpkg.com/debian/ stable main
Изменить: неважно, повторная загрузка ключа исправила. :)
Я могу поддержать приведенный выше комментарий. Ключ изменился с момента предыдущей ротации 9 дней назад, и его пришлось повторно загрузить.
Я добавил новый подключ для ночных сборок, но в нем НЕ ДОЛЖНО быть
повлияло на стабильное репо. Придется разобраться, что здесь произошло ...
Отправлено с телефона.
Пт, 11 января 2019 г., 01:37 bvnierop < [email protected] написал:
Я могу поддержать приведенный выше комментарий. Ключ изменился по сравнению с предыдущим
вращение 9 дней назад, и его пришлось перекачивать.-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 или отключить звук
нить
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.
Ключ изменился с момента предыдущей ротации 9 дней назад
Расследование на https://github.com/yarnpkg/yarn/issues/6916. В настоящее время это похоже на ошибку Aptly: https://github.com/aptly-dev/aptly/issues/805
Я решил здесь с помощью команд:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key добавить gpg
Обновленный ключ, который я загрузил 4 дня назад (который включал новый подключ), сегодня снова перестал работать.
Извини за это ... Теперь все должно быть в порядке. Это отслеживалось в № 6916.
У меня есть панель мониторинга, отслеживающая даты истечения срока действия ключей: https://dash.d.sb/d/0PYZ8W_iz/yarn, и я настрою для нее мониторинг.
снова истек.
The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
решил проблему
Я продлил срок действия несколько недель назад, но вам нужно обновить его вручную, так как я еще не настроил его на автоматическое обновление. См. № 7866
Самый полезный комментарий
Должно быть исправлено https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.
Пожалуйста, повторно загрузите ключ, поскольку теперь он содержит новый подраздел:
Срок действия нового подключа истекает 02.02.2020 (спасибо за предложение не использовать 1 января, @jleclanche)