从github下载的zip上的签名不匹配

当我在github上单击某个包的“下载zip”按钮，或通过{username}/{projectname}/archive/{sha}.zip下载某个特定的提交文件时，该文件在我的计算机上的大小与网页上显示的大小不一致

为什么会发生这种情况？sha1sum不匹配是不安全的。如何使用可验证的hashsum下载提交的完整源代码，而无需使用“git”命令或在github上创建帐户（因为我只想下载一次库供本地使用，而不是编辑它）

---

谢谢大家!

正在下载具有以下url的repo源内容

https://github.com/{username}/{projectname}/archive/{sha}.zip

…将使用以下url检索提交中包含的代码源

https://github.com/{username}/{projectname}/commissions/{sha}

在检索到的归档文件上运行

sha1sum

，将不生成目标提交的sha

Git依赖SHA-1散列来唯一标识其内部对象的方式在一书的中有详细说明。您会注意到，任何提交的sha都将依赖于其父提交的sha（以及间接地依赖于其所有祖先的sha）。这意味着为了生成这样一个sha，您将需要导致此提交的所有更改的整个历史记录

为了安全地验证源代码没有被修改，并且与GitHub上显示的commit sha相匹配，除了克隆完整的存储库并运行以下命令外，别无选择。此命令将使用提交的内容更新工作目录

git签出{sha}

---

如果git找不到与此sha匹配的提交，该命令将失败。

下载具有以下url的repo源内容

https://github.com/{username}/{projectname}/archive/{sha}.zip

…将使用以下url检索提交中包含的代码源

https://github.com/{username}/{projectname}/commissions/{sha}

在检索到的归档文件上运行

sha1sum

，将不生成目标提交的sha

Git依赖SHA-1散列来唯一标识其内部对象的方式在一书的中有详细说明。您会注意到，任何提交的sha都将依赖于其父提交的sha（以及间接地依赖于其所有祖先的sha）。这意味着为了生成这样一个sha，您将需要导致此提交的所有更改的整个历史记录

为了安全地验证源代码没有被修改，并且与GitHub上显示的commit sha相匹配，除了克隆完整的存储库并运行以下命令外，别无选择。此命令将使用提交的内容更新工作目录

git签出{sha}

---

如果git找不到与此sha匹配的提交，该命令将失败。

那么github站点没有任何地方显示单个提交的校验和，特别是最新提交的校验和，以进行验证？事实上，您目前找不到使用sha1sum验证从github下载的内容的方法。但是，您可能希望通过向GitHub发送邮件来尝试向GitHub请求此类功能support@github.com.@ USER 2233 762如果这个答案对你有帮助，也许你能考虑接受它吗？所以GITHUB站点没有地方显示一个单独提交的校验和，特别是最近的提交，用于验证吗？您目前找不到使用sha1sum验证从GitHub下载的内容的方法。但是，您可能希望通过向GitHub发送邮件来尝试向GitHub请求此类功能support@github.com.@如果你的答案对你有帮助，也许你能考虑接受它吗？SHA-1显示的是GIT提交的ID。您应该克隆git存储库，并检查上次提交的SHA-1与您在web上看到的内容是否匹配。显示的SHA-1是git提交的id。您应该克隆git存储库，并检查最后提交的SHA-1与您在web上看到的内容是否匹配。