Javascript 基于ColdFusion的Web应用程序的代码签名

是否有工具和行业标准来确保和验证修补程序或系统更新的完整性。作为发布过程的一部分，有时我会向基于ColdFusion/HTML/JS的应用程序交付更新集。我的问题是，我是否可以在安装包或单个更新之前对其进行即时签名，然后让ColdFusion/ApplicationServer自动验证它们

请注意，有时我需要对单个JS文件进行更新，有时需要对一组ColdFusion、cfc/cfm等文件进行更新

---

谢谢

对于完整性验证（没有代码签名那么强大），我们使用

下面是我们如何使用它：

• 我们使用Ant来创建一个发行版，尽管因为CF不需要编译，这主要是复制和压缩文件的情况
• 在构建过程中，我们调用jacksum来运行即将发布的代码，它将应用程序中每个文件的校验和写入单个文件。我们将该文件命名为x.y.z.chk，其中x.y.z是我们的版本号
• 生成的文件与其余代码一起提供
• 在我们的应用程序中有一个屏幕，它获取.chk文件（根据它认为它正在运行的版本）并读取它。然后，它读取/校验应用程序，并报告任何不一致的情况。实际上，我们在CF中实现了一个简单的jacksum版本。我们也可以调用jacksum来进行检查

这并不像拥有一个签名的代码包那样强大，但我们试图防止的是部分部署和损坏。我们之所以不这样做，是出于强烈的安全原因：校验和文件与代码位于同一个驱动器上，因此，如果您可以更改其中一个，您也可以更改另一个，尽管当有人能够编辑您的应用程序源代码时，您会遇到更大的问题

---

如果您想使用这种方法，我可以找出我们使用的jacksum设置和CF代码，以便在文件上运行相同的校验和。

如果您在内部部署并且您的公司使用SVN进行存储库管理，则可以使用它进行代码签名。对不起，我不能给你一个链接；但是谷歌搜索显示有一个插件你可以使用。不过，你可能需要做一些挖掘才能弄清楚。我以前从未做过。巴尼尔，谢谢你的回答！你的解决方案很优雅。出于我的目的，我只需要用私钥加密chk文件。如果你有时间，如果你能通过CF与Jacksum分享或给出你如何与Jacksum交互的技巧，这对每个人都是非常好的。