desajuste de firma en zip descargado de github

Cuando hago clic en el button "download zip" para un package en github, o descargo una confirmación en particular por https://github.com/ {username} / {projectname} / archive / {sha} .zip, el shasum del file termina en mi computadora no está de acuerdo con la que se muestra en la página web.

¿Por qué está ocurriendo esto? No es seguro que el sha1sum no coincida. ¿Cómo descargo el código fuente completo de un commit con hash verificable sin usar el command "git" o teniendo que hacer una count en github (porque solo quiero download la biblioteca para uso local una vez, no editarla).

¡Gracias!

Descargando un contenido fuente repo con la siguiente url …

https://github.com/{username}/{projectname}/archive/{sha}.zip

… recuperará el código fuente incluido en la confirmación con la siguiente URL

https://github.com/{username}/{projectname}/commits/{sha}

Ejecutar sha1sum en el file recuperado no producirá el sha de la confirmación objective.

La forma en que Git confía en los hashes SHA-1 para identificar de manera única sus objects internos se explica en detalle en este capítulo del libro Pro Git . Notarás que el sha de cualquier commit dependerá del sha de su commit padre (e indirectamente de todos sus ancestros). Esto significa que para producir tal sha, necesitaría toda la historia de todos los cambios que llevan a este commit.

Para verificar de forma segura que el código fuente no ha sido alterado y coincide con el post de confirmación que se muestra en GitHub, no hay otra manera que clonar el repository completo y ejecutar el siguiente command. Este command actualizará su directory de trabajo con el contenido de la confirmación.

git checkout {sha}

Si git no puede encontrar una confirmación que coincida con este sha, el command fallará.