发布已签名的清单是包含两个步骤的过程。该过程不改变软件包,包括它的时间戳。
将未签名的软件包发布至系统信息库。
更新准备就绪的软件包,使用 pkgsign 命令将签名操作附加到系统信息库的清单中。
该过程允许除发布者之外的其他人添加签名操作而不使原始发布者的签名失效。例如,公司的 QA 部门可能想要对所有内部安装的软件包进行签名,来表示它们已被批准使用,但是不重新发布软件包,因为重新发布将会创建一个新的时间戳,使原始发布者的签名失效。
请注意,发布已签名软件包的唯一方法是使用 pkgsign 命令。如果发布的软件包已经包含签名,则系统将删除该签名并发出警告。pkgsign(1) 手册页包含如何使用 pkgsign 命令的示例。
包含变量的签名操作将被忽略。所以,对两个清单执行 pkgmerge 会使之前应用的所有签名失效。