验证您的下载 - Amazon Q 开发者版
macOSAppImage (Linux)Ubuntu/Debian (Linux)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证您的下载

在安装适用于命令行的 Amazon Q 并使用其功能之前,您可以验证 macOS 和 Linux 的下载情况。

macOS

下载适用于 macOS 的命令行版 Amazon Q 后,您可以使用以下命令验证其代码签名:

codesign -v /Applications/Amazon\ Q.app

如果没有输出,则应用程序的代码签名是有效的,并且自签名以来未被篡改。

有关应用程序签名的更多详细信息,请使用以下命令:

codesign -dv --verbose=4 /Applications/Amazon\ Q.app

要了解有关 macOS 代码签名工具的更多信息,请参阅 Apple 开发者网站上的 Code Signing Guide

AppImage (Linux)

下载适用于命令行的 Amazon Q 后 AppImage,您可以使用 GnuPG 工具验证下载情况。使用 AppImage PGP 签名进行加密签名,可以使用 GnuPG 工具进行验证。如果文件损坏或更改,则验证将失败,您不应继续安装。

验证下载的 deb

  1. 导入 Amazon Q 命令行 PGP 公钥并验证您下载的 zip 文件的完整性。

    1. 使用您的程序包管理器下载并安装 gpg 命令。有关 GnuPG 的更多信息,请参阅 GnuPG 文档。

    2. 要创建公有密钥文件,请创建一个文本文件并粘贴到以下文本中。

      -----BEGIN PGP PUBLIC KEY BLOCK-----
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=f8yY
-----END PGP PUBLIC KEY BLOCK-----

    3. 使用以下命令导入 Amazon Q 命令行公钥,public-key-file-name替换为您创建的公钥的文件名。

      gpg --import public-key-file-name
gpg: directory '/home/username/.gnupg' created
gpg: keybox '/home/username/.gnupg/pubring.kbx' created
gpg: /home/username/.gnupg/trustdb.gpg: trustdb created
gpg: key 50DC7A8DC24C5667: public key "Amazon Q command line Team <q-command line@amazon.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

  2. 下载适用于 Amazon Q 命令行签名文件 AppImage。它的路径和名称与其对应.appimage的文件相同,但扩展名为.sig。以下示例说明如何将其作为名为的文件保存到当前目录amazon-q.appimage.sig。要获取最新版本的 Amazon Q 命令行,请使用以下命令:

    curl --proto '=https' --tlsv1.2 -sSf "https://desktop-release.q.us-east-1.amazonaws.com/latest/amazon-q.appimage.sig" -o "amazon-q.appimage.sig"

    对于命令行版的 Amazon Q 的特定版本,您可以将 URL ... /latest/ ... 中的版本号替换为版本号。

  3. 验证签名,将下载的名.sig.appimage文件名都作为参数传递。使用以下 GnuPG 命令:

    gpg --verify amazon-q.appimage.sig amazon-q.appimage

    该输出值应该类似于以下内容:

    gpg: Signature made Wed 24 Apr 2024 12:08:49 AM UTC
gpg:                using EDDSA key 9AF60417E82742C9143E03EC50DC7A8DC24C566
gpg: Good signature from "Amazon Q command line Team <q-command line@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 9AF6 0417 E827 42C9 143E  03EC 50DC 7A8D C24C 5667

Ubuntu/Debian (Linux)

deb 文件包含一个 PGP 签名,可以使用 GnuPG 工具对其进行验证。如果文件损坏或更改,则验证将失败,您不应继续安装。

验证下载的 deb

  1. 导入 Amazon Q 命令行 PGP 公钥并验证您下载的 zip 文件的完整性。

    1. 使用您的程序包管理器下载并安装 gpg 命令。有关 GnuPG 的更多信息,请参阅 GnuPG 文档。https://gnupg.org/documentation/index.html

    2. 要创建公钥文件,请创建一个文本文件,然后粘贴以下文本。

      -----BEGIN PGP PUBLIC KEY BLOCK-----
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=f8yY
-----END PGP PUBLIC KEY BLOCK-----

    3. 使用以下命令导入 Amazon Q 命令行公钥,public-key-file-name替换为您创建的公钥的文件名。

      gpg --import public-key-file-name
gpg: directory '/home/username/.gnupg' created
gpg: keybox '/home/username/.gnupg/pubring.kbx' created
gpg: /home/username/.gnupg/trustdb.gpg: trustdb created
gpg: key 50DC7A8DC24C5667: public key "Amazon Q command line Team <q-command line@amazon.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

  2. 使用 GnuPG 命令验证下载的文件:

    gpg --verify amazon-q.deb

    该输出值应该类似于以下内容:

    gpg: Signature made Wed 24 Apr 2024 12:08:49 AM UTC
gpg:                using EDDSA key 9AF60417E82742C9143E03EC50DC7A8DC24C566
gpg: Good signature from "Amazon Q command line Team <q-command line@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 9AF6 0417 E827 42C9 143E  03EC 50DC 7A8D C24C 5667