このドキュメントは AI によって自動翻訳されています。不正確な部分がある場合は、英語版 を参照してください。
サードパーティ署名検証は Dify Community Edition の機能です。Dify Cloud は署名を一元管理しており、これらの制御は公開されていません。
管理者が承認したプラグインに署名する
管理者は信頼できる開発者からの .difypkg をレビューし、インストール前に自分の鍵で署名します。
開発者が署名済みプラグインを配布する
開発者が .difypkg に署名し、対応する公開鍵を公開します。その開発者を信頼する管理者は、その公開鍵を検証リストに追加します。
キーペアの生成
dify signature generate -f your_key_pair
| ファイル | 用途 |
|---|
your_key_pair.private.pem | プラグインの署名(秘密にする) |
your_key_pair.public.pem | 署名の検証(公開する) |
秘密鍵を保護してください。秘密鍵を持つ人は誰でも、あなたの公開鍵を信頼するインストール環境で検証に合格するプラグインに署名できます。
プラグインの署名と検証
パッケージに署名する
dify signature sign your_plugin_project.difypkg -p your_key_pair.private.pem
your_plugin_project.signed.difypkg が生成されます。署名済みパッケージを検証する
dify signature verify your_plugin_project.signed.difypkg -p your_key_pair.public.pem
-p を省略した場合、dify signature verify は Dify マーケットプレイスの公開鍵に対して検証します。Dify によって署名されていないプラグインは、そのモードでは検証に失敗します。
デーモンでの検証の有効化
管理者は、信頼する公開鍵のリストをプラグインデーモンに提供することで、署名済みプラグインをインストールします。
公開鍵を配置する
.public.pem ファイルをデーモンコンテナがアクセスできる場所に配置します。Docker Compose インストールの場合:mkdir -p docker/volumes/plugin_daemon/public_keys
cp your_key_pair.public.pem docker/volumes/plugin_daemon/public_keys/
デーモン環境を設定する
plugin_daemon サービスで以下の変数を設定します:| 変数 | 値 |
|---|
FORCE_VERIFYING_SIGNATURE | true |
THIRD_PARTY_SIGNATURE_VERIFICATION_ENABLED | true |
THIRD_PARTY_SIGNATURE_VERIFICATION_PUBLIC_KEYS | コンテナ内の公開鍵へのカンマ区切りパス |
docker-compose.override.yaml のスニペット:services:
plugin_daemon:
environment:
FORCE_VERIFYING_SIGNATURE: true
THIRD_PARTY_SIGNATURE_VERIFICATION_ENABLED: true
THIRD_PARTY_SIGNATURE_VERIFICATION_PUBLIC_KEYS: /app/storage/public_keys/your_key_pair.public.pem
docker/volumes/plugin_daemon はコンテナ内の /app/storage にマウントされるため、THIRD_PARTY_SIGNATURE_VERIFICATION_PUBLIC_KEYS のパスはコンテナ内パスを使用する必要があります。
Dify を再起動する
cd docker
docker compose down
docker compose up -d
.difypkg ファイルは正常にインストールされ、未署名または不一致のものは拒否されます。関連リソース
