插件签名

从注册表安装的 OpenTofu 提供程序已进行密码学签名，并在安装时验证签名。

OpenTofu 不支持获取和使用未签名的二进制文件，但您可以手动安装未签名的二进制文件。这样做时应格外小心，因为不会执行任何程序身份验证。

环境变量​

OPENTOFU_ENFORCE_GPG_VALIDATION=false​

已引入一项临时更改，在特定情况下跳过 GPG 验证。

• 注册表范围：此更改仅影响来自默认注册表的提供程序包。
• 密钥可用性：当且仅当默认注册表中没有提供程序的 GPG 密钥时，才会跳过 GPG 验证。
• 临时措施：这是一种权宜之计，直到默认注册表中可以填充所有提供程序的 GPG 密钥。

虽然这提供了操作灵活性，但它确实降低了受影响软件包的安全保障级别。优先考虑安全的用户应将 OPENTOFU_ENFORCE_GPG_VALIDATION 环境变量设置为 true 以强制执行所有提供程序的 GPG 验证。

未来移除：我们打算在默认注册表中填充所有 GPG 密钥后移除此功能，并恢复对所有提供程序的严格 GPG 验证过程。

OPENTOFU_ENFORCE_GPG_EXPIRATION=false​

注册表中存在的许多较旧的密钥已过期，不再严格有效。从历史上看，Terraform 从未关心注册表中密钥的过期日期，并且已忽略该字段。在切换到新的加密库时，此功能变得可用。出于传统原因，它目前默认情况下处于禁用状态（设置为 false），但在将来的版本中可能会默认为 true，因为工作流程已集成到注册表中以保持密钥最新。