软件下载规范
唯一可信来源
重要
只能从 GitHub Releases 页面下载软件
正确的下载地址格式:
https://github.com/{组织名}/{仓库名}/releases示例:
https://github.com/anthropics/claude-code/releases下载步骤
步骤 1:进入仓库页面
打开软件的 GitHub 仓库主页。
步骤 2:找到 Releases
点击右侧边栏的 Releases 链接,或直接访问:
https://github.com/{org}/{repo}/releases步骤 3:选择版本
- 通常选择最新的稳定版本(Latest)
- 避免选择带有
pre-release、alpha、beta标记的版本(除非明确需要)
步骤 4:下载文件
在 Assets 区域找到对应你操作系统的文件:
| 平台 | 常见文件后缀 |
|---|---|
| Windows | .exe, .msi, .zip |
| macOS | .dmg, .pkg, 无后缀 |
| Linux | .AppImage, .deb, .rpm, 无后缀 |
步骤 5:确认 SHA256 值
在 Assets 区域,每个文件旁边会显示其 SHA256 哈希值:
上图标注说明:
- 文件名 - 点击即可下载
- sha256:xxx - 该文件的哈希值(用于验证完整性)
- 文件大小 - 便于确认下载是否完整
提示
SHA256 值是文件的唯一"指纹",下载后可对比验证文件是否被篡改。
禁止的下载渠道
以下渠道下载的软件 一律视为不可信:
❌ 网盘分享
- Google Drive
- OneDrive
为什么不安全?
网盘分享的文件无法追溯原始来源,可能被上传者修改或替换。
❌ 即时通讯工具
- teams
- signal
为什么不安全?
文件在传输过程中可能被压缩、转码或替换,且无法验证发送者是否为官方人员。
❌ 邮件附件
任何通过邮件发送的可执行文件都应视为可疑。
❌ 第三方下载站
- 软件下载站
- 镜像站点
- 论坛附件
如何处理违规来源的软件
如果收到通过上述渠道分享的软件:
- 不要运行 - 立即删除文件
- 索要官方链接 - 要求分享者提供 GitHub Releases 链接
- 报告可疑行为 - 如分享者坚持使用非官方渠道,向安全团队报告