② 検証 — ハッシュで取得物を確認
curl | bash をやめ、DL → ハッシュ照合 → 実行
curl -fsSL -o $$tmp https://claude.ai/install.sh && \
echo "$(CLAUDE_INSTALL_SCRIPT_SHA256) $$tmp" | sha256sum -c - && \
bash $$tmp
- asdf / uv / rustup も同様に SHA256 を固定して照合
go install は 手動ハッシュ不要 — Go が公式チェックサムDB
(sum.golang.org) で全モジュールの改竄を自動検証
cargo install --locked で lockfile のハッシュを尊重