Pour vérifier le téléchargement (facultatif) - Amazon Q Developer

Pour vérifier le téléchargement (facultatif)

Si vous avez choisi de télécharger manuellement le package d’installation compressé de la ligne de commande Amazon Q, vous pouvez vérifier les signatures à l’aide de l’outil GnuPG :

  1. Téléchargez et installez la commande gpg à l’aide de votre gestionnaire de packages. Pour plus d’informations, consultez la documentation GnuPG.

  2. Créez un fichier de clé publique en créant un fichier texte et collez-y le texte suivant :

    -----BEGIN PGP PUBLIC KEY BLOCK-----
 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=f8yY
-----END PGP PUBLIC KEY BLOCK-----

  3. Importez la clé publique de la ligne de commande Amazon Q à l’aide de la commande suivante, en remplaçant public-key-file-name par le nom de la clé publique que vous avez créée :

    gpg --import public-key-file-name
    gpg: directory '/home/username/.gnupg' created
gpg: keybox '/home/username/.gnupg/pubring.kbx' created
gpg: /home/username/.gnupg/trustdb.gpg: trustdb created
gpg: key 50DC7A8DC24C5667: public key "Amazon Q command line Team <q-command line@amazon.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

  4. Téléchargez le fichier de signature de la ligne de commande Amazon Q du package que vous avez téléchargé. Il possède le même chemin et le même nom que le fichier .zip auquel il correspond, mais son extension est .sig.

    Version standard (glibc 2.34+) :

    Linux x86-64 :

    curl --proto '=https' --tlsv1.2 -sSf "https://desktop-release.q.us-east-1.amazonaws.com/latest/q-x86_64-linux.zip.sig" -o "q.zip.sig"

    Linux ARM (aarch64) : 

    curl --proto '=https' --tlsv1.2 -sSf "https://desktop-release.q.us-east-1.amazonaws.com/latest/q-aarch64-linux.zip.sig" -o "q.zip.sig"

    Version Musl (pour glibc < 2.34) :

    Linux x86-64 avec musl :

    curl --proto '=https' --tlsv1.2 -sSf "https://desktop-release.q.us-east-1.amazonaws.com/latest/q-x86_64-linux-musl.zip.sig" -o "q.zip.sig"

    Linux ARM (aarch64) avec musl :

    curl --proto '=https' --tlsv1.2 -sSf "https://desktop-release.q.us-east-1.amazonaws.com/latest/q-aarch64-linux-musl.zip.sig" -o "q.zip.sig"

  5. Vérifiez la signature en transmettant les noms des fichiers .sig et .zip file téléchargés sous forme de paramètres de la commande gpg :

    gpg --verify q.zip.sig q.zip

    La sortie doit ressembler à ce qui suit :

    gpg: Signature made Wed 24 Apr 2024 12:08:49 AM UTC
gpg:                using EDDSA key 9AF60417E82742C9143E03EC50DC7A8DC24C566
gpg: Good signature from "Amazon Q command line Team <q-command line@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 9AF6 0417 E827 42C9 143E  03EC 50DC 7A8D C24C 5667
    Note

    L’avertissement mentionné dans la sortie est attendu et n’indique pas de problème. Cet avertissement est dû à l’absence de chaîne de confiance entre votre clé PGP personnelle (si vous en possédez une) et la clé PGP d’Amazon Q pour ligne de commande. Pour plus d’informations, consultez Web of trust.