Balíky zo zdrojov softvéru sú zvyčajne podpísané projektom, ktorý zdroje alebo balíky spravuje. Vďaka tomu si používatelia môžu byť istí, že balík podpísaný bezpečnostným kľúčom skutočne pochádza zo zdroja, z ktorého tvrdí že pochádza.

Aby mohla infraštruktúra na správu balíkov efektívne fungovať, musí dôverovať zdrojom softvéru aby mohla automaticky sťahovať a inštalovať aktualizácie. Ďalšou výhodou je, že podpísané balíky možno inštalovať bez zadávania hesla správcu za predpokladu, že to správca povolil.

Obrázok 12 Príklad výzvy ohľadne podpisu

Ak chceme označiť zdroj softvéru ako dôveryhodný, mali by sme si overiť podrobnosti podpisujúceho kľúča. Zvyčajne je najlepším spôsobom ako to docieliť, prejsť na webovú stránku zdroja softvéru a pokúsiť sa nájsť podrobnosti o kľúči, ktorý bol na podpis balíkov použitý. Zvyčajne sa nazýva GPG kľúč.

Tento dialóg by sme mali potvrdiť iba v prípade, že súhlasíme s dôveryhodnosťou balíkov z tohto zdroja.