GitLab 正在旋转用于签名 Omnibus Linux 软件包的 GNU 隐私保护守护键，以遵循标准安全实践。该键旋转计划于 2025 年 4 月 16 日进行，以确保软件包的完整性并验证它们未被篡改。新的键具有指纹 98BF DB87 FCF1 0076 416C 1E0B AD99 7ACC 82DD 593D，将用于签名即将发布的软件包。现有的键将被撤销，而在键旋转之前发布的软件包将继续使用之前的键。需要验证 GitLab Omnibus 软件包 GPG 签名的用户需要更新他们的软件包签名键副本。软件包签名键与操作系统包管理器使用的存储库元数据签名键是分开的。除非用户专门验证软件包签名或将包管理器配置为这样做，否则无需采取任何行动以继续安装 GitLab Omnibus 软件包。新的键可以从 packages.gitlab.com 下载，用户可以在文档中找到关于验证软件包签名的更多信息。如果用户遇到问题，可以在 omnibus-gitlab 问题跟踪器中打开一个问题以获取帮助。键旋转是一个重要的安全措施，以确保 GitLab Omnibus 软件包的完整性和真实性。