Проверка релизных артефактов

Цель

Подтвердить три свойства перед установкой:

1. артефакт подлинный (GPG signature);
2. артефакт не поврежден (SHA256);
3. артефакт соответствует ожидаемой версии.

Пошаговый verify path

VERSION="0.6.3"
ART="angarabase-server-v${VERSION}-x86_64-unknown-linux-gnu.tar.gz"
BASE_URL="https://s3.angarabase.io/stable/v${VERSION}"

# 1) Скачать
curl -fsSL "${BASE_URL}/${ART}" -o "${ART}"
curl -fsSL "${BASE_URL}/${ART}.asc" -o "${ART}.asc"
curl -fsSL "${BASE_URL}/SHA256SUMS" -o SHA256SUMS

# 2) Импортировать release key (один раз)
gpg --keyserver hkps://keys.openpgp.org --recv-keys <KEY_FINGERPRINT>
# альтернатива:
# curl -fsSL https://angarabase.io/release-key.gpg | gpg --import

# 3) Проверить подпись
gpg --verify "${ART}.asc" "${ART}"

# 4) Проверить checksum
sha256sum --check --ignore-missing SHA256SUMS

Критерии успеха

• gpg --verify возвращает Good signature.
• sha256sum --check возвращает OK.

Если любой шаг не проходит — артефакт использовать нельзя.

Дальше

После того как подпись и SHA-256 совпали:

• Установка — распаковать проверенный архив или поставить пакет.
• GOST crypto setup — если требуется отечественная криптография на этапе верификации.
• Поддержка и сбор артефактов баг-репорта — что делать, если хеш не совпал.