sha256sum, shasum, Get-FileHash — 그리고 여전히 해시를 비교할 좋은 방법이 없다
Source: Dev.to
네이티브 해시 도구의 문제점
SHA‑256 해시와 함께 파일을 다운로드할 때 검증이 번거로울 수 있습니다:
- Linux에서는
sha256sum을 사용합니다. - macOS에서는
shasum -a 256을 사용합니다. - Windows에서는 PowerShell 명령을 사용합니다.
각 도구마다 문법이 다르고, 기대하는 해시를 복사한 뒤 명령을 실행하고, 두 개의 64자 문자열을 수동으로 비교해야 합니다.
sha256sum -c는 검증을 자동화할 수 있지만, 이는 웹 페이지에서 복사한 단일 해시가 아니라 올바르게 포맷된 체크섬 파일을 필요로 합니다.
verify‑integrity 소개
verify-integrity는 일회성 해시 검증을 손쉽게 해 주는 작은 CLI 도구입니다. 문자별 차이를 보여 주어 해시가 어디서 다른지 즉시 확인할 수 있습니다.
$ npx verify-integrity ./myfile.zip 3a4c9877b483ab46d7c3fbe165a0db275e1ae3cfe56a5657e5a47c2f99a99d1e
✖ Hashes did not match! Integrity verification failed.
Expected: 3a4c9877b483ab46d7c3fbe165a0db275e1ae3cfe56a5657e5a47c2f99a99d1e
Generated: 3a4c9877b483ab46d7c3fbe165a0db275e1ae3cfe56a5657e5a47c2f99a99dab일치하는 문자는 흐리게, 일치하지 않는 문자는 굵게 표시됩니다. 이를 통해 오타 때문에 실패했는지, 파일이 실제로 손상됐는지 판단할 수 있습니다.
성공적인 검증
✔ Hashes matched! Integrity verified.
Generated hash: 3a4c9877b483ab46d7c3fbe165a0db275e1ae3cfe56a5657e5a47c2f99a99d1e사용법
기본 검사
npx verify-integritycurl 로 파이프하기
curl -sL https://example.com/file.zip | verify-integrity - 3a4c9877b483ab46...파일 경로에 - 를 지정하면 STDIN 으로부터 읽어들여 파이프라인을 원활하게 사용할 수 있습니다.
알고리즘 선택
SHA‑256이 기본값이지만, 다른 알고리즘을 선택할 수 있습니다:
verify-integrity -a sha512 ./file.tar.gz 9b71d224bd62f378...지원 알고리즘: sha256 (기본), sha512, md5, sha1.
주의: MD5는 깨졌고 SHA‑1은 약하므로, 도구가 사용 시 경고합니다.
부분 해시 매칭
해시의 접두사만 제공되는 경우(예: 릴리즈 노트) --partial 을 사용합니다:
verify-integrity -p ./myfile.zip abcd1234접두사가 8자 미만이면 오탐 가능성이 높아지므로 경고가 표시됩니다.
조용한 모드
verify-integrity -q ./release.tar.gz 3a4c9877b483ab46... && deploy.sh--quiet 은 모든 출력을 억제하고 종료 코드(0 = 일치, 1 = 불일치)에만 의존하므로 스크립트와 CI 파이프라인에 적합합니다.
설치 및 사용 가능성
verify-integrity는 npm 을 통해 배포되며 영구 설치 없이도 실행할 수 있습니다:
npx verify-integrity이 도구는 오픈소스이며, GitHub 저장소에서 감사, 포크, 이슈 제기를 할 수 있습니다.
결론
네이티브 도구에 익숙하다면 계속 사용해도 좋습니다. 하지만 스크립트나 CI에서 빠르고 크로스‑플랫폼이며 명확한 성공/실패 검사가 필요할 때 verify-integrity는 최소한의 설정으로 간편한 경험을 제공합니다. 한번 사용해 보고 커뮤니티에 의견을 남겨 주세요!