Autore dei file sopra citati qui.
Il checksum di tali file allo stato corrente delle cose è normale da cambiare quando gli script di compilazione vengono modificati e una nuova build viene automaticamente attivata e caricata. In caso di curl 7.46.0, gli script di compilazione (e di conseguenza i pacchetti scaricabili) sono cambiati tre volte al momento della scrittura:
- Il supporto HTTP / 2 è stato abilitato, creando e collegando staticamente la dipendenza nghttp2: commit , < a href="https://ci.appveyor.com/project/vsz/harbour-deps/build/1.0.211"> log
La dipendenza - nghttp2 è stata aggiornata dalla versione 1.5.0 alla 1.6.0: commit , login
- un errore di build
libcurl.dll
è stato identificato e risolto, causato da un'opzione di build nghttp2 mancante: commit , log
- il compilatore C MinGW sottostante è stato aggiornato alla versione 5.3.0, oltre a più correzioni e aggiornamenti interni: commit , registro
- È stato corretto il falso positivo di VirusTotal eliminando un file
.vbs
facoltativo che era stato precedentemente copiato dal pacchetto originale di ricciolo originale: commit , registro
Qualsiasi commit qui (reso al ramo master
), attiverà una nuova build:
- tranne quando escluso esplicitamente usando il testo di commit:
[ci skip]
- il processo di compilazione è progettato per essere riproducibile / deterministico, quindi il checksum cambierà solo se il codice sorgente sottostante o le opzioni del compilatore sono alterati. (Una build ripetuta con le stesse opzioni non la modifica.)
Per quanto riguarda il download dei file binari tramite protocolli diversi, HTTP e HTTPS dovrebbero risultare nello stesso identico contenuto binario (se i download sono fatti nello stesso momento) - sebbene sia altamente raccomandato HTTPS.
Per quanto riguarda il potenziale malware, vedi le mie opinioni su GitHub:
link
In breve: sono quasi certamente dei falsi positivi, improbabili che possano essere influenzati dal protocollo di trasferimento, più probabilmente influenzati dai problemi del motore dello scanner. Il processo di compilazione completo è pubblico e controllabile così come tutto il codice sorgente che viene incorporato in esso.)
UPDATE [2015-12-28]: come risposta generale al problema HTTP vs. HTTPS: quest'ultimo, il protocollo sicuro garantisce che il contenuto proviene dalla parte giusta e che non sia manomesso nel suo percorso verso il altra estremità del filo. Per questi motivi, ci si può fidare di più e quindi il mio consiglio è nella risposta originale. Una garanzia ancora migliore è quella di verificare gli hash SHA256 dei contenuti scaricati rispetto a quelli generati sul build server stesso (visibili alla fine dei log di build collegati sopra). Una garanzia ancora più strong è quella di avere il contenuto firmato digitalmente (ad es. Usando PGP o minisign) e quella firma verificata dal ricevitore. (I miei download di arricciatura non dispongono di una firma digitale in questo momento.)
AGGIORNAMENTO [2016-01-06]: aggiornato l'elenco degli aggiornamenti del pacchetto. La correzione del falso positivo di VirusTotal era uno di questi.