GitLab rotiert den GNU Privacy Guard-Schlüssel, der verwendet wird, um Omnibus-Linux-Pakete zu signieren, als Teil ihrer standardmäßigen Sicherheitspraktiken. Die Schlüsselrotation ist für den 16. April 2025 geplant und gewährleistet die Integrität der Pakete, indem sie überprüft, ob sie nicht manipuliert wurden. Der neue Schlüssel hat einen Fingerabdruck von 98BF DB87 FCF1 0076 416C 1E0B AD99 7ACC 82DD 593D und wird verwendet, um kommende Pakete zu signieren. Der bestehende Schlüssel wird widerrufen, und Pakete, die vor der Schlüsselrotation veröffentlicht wurden, bleiben mit dem vorherigen Schlüssel signiert. Benutzer, die die GPG-Signaturen von GitLab-Omnibus-Paketen überprüfen, müssen ihre Kopie des Paket-Signaturschlüssels aktualisieren. Der Paket-Signaturschlüssel ist separat vom Repository-Metadaten-Signaturschlüssel, der von Betriebssystem-Paketmanagern verwendet wird. Es ist keine Aktion erforderlich, um weiterhin GitLab-Omnibus-Pakete zu installieren, es sei denn, Benutzer überprüfen explizit Paket-Signaturen oder haben ihren Paketmanager so konfiguriert. Der neue Schlüssel kann von packages.gitlab.com heruntergeladen werden, und Benutzer können weitere Informationen über die Überprüfung von Paket-Signaturen in der Dokumentation finden. Wenn Benutzer Probleme haben, können sie ein Problem im omnibus-gitlab-Issue-Tracker öffnen, um Hilfe zu erhalten. Die Schlüsselrotation ist ein wichtiger Sicherheitsmaßnahme, um die Integrität und Authentizität von GitLab-Omnibus-Paketen zu gewährleisten.