isoファイルやミドルウェアのソースファイルは大抵検証用のハッシュ値がmd5かsha1で用意されているのですが、
されていないパターンもあります。
ハッシュ値があるとダウンロードが正常にできたのか検証する上で役立つのですが……
特に容量がでかくてダウンロードに時間のかかるファイルだとなおさらです。
某ではハッシュ値がない上に1セッション辺りの帯域が絞られているらしく時間がかかり、
終わったと思ったら中断していてファイルが壊れていたということが何度かありました。
ブラウザでダウンロードするとレジュームできないのでそのサイトではcurlで落とすようにしています(今のところコマンドで取得時に中断したことがないので、再開できるのかは検証できていませんが……)
後は、ビルド作業をスクリプト化する際に困ります。
一連の手順をまとめて流すので、エラーチェックできないんですよね。
ファイルが壊れていれば展開時やmakeに失敗するとは思いますが万が一エラーが出ずに最後まで処理が実行されてしまうと大変なことに……
なので、検証用のハッシュも一緒に置かれていると助かります。
余談:
PGPで署名されているパターンもあるのですが、署名に使われた公開鍵が見当たらないというパターンがあります。
外部の鍵サーバーに置かれてそれが信頼できるチェーンに連なってはいなかったり、そもそも「その鍵で署名したよ」という情報が無かったり。
ファイルが壊れずにダウンロードできたのか? という検証はできますが、それが正しい人によって署名されたのかは検証できないという……