Pertanyaan Melihat tanda PGP pada artefak Maven


Saya ingin secara manual memverifikasi tanda tangan PGP pada artefak Maven dari Central, tapi saya tidak tahu harus mulai dari mana.

Saya melihat di Apache Panduan untuk mengunggah artefak ke Pusat Repositori yang dikatakan "kami meminta Anda untuk memberikan tanda tangan PGP untuk semua artefak Anda".

Dan saya telah melihat bahwa perangkat lunak Nexus Pro Sonatype menyebutkan verifikasi tanda tangan di a posting blog di fitur Nexus Pro

Tetapi saya tidak dapat menemukan informasi tentang cara mendapatkan tanda tangan secara manual. Saya cukup akrab dengan GPG untuk melakukan verifikasi yang sebenarnya. Bagaimana saya mendapatkan .asc file untuk artefak di Central?


6
2018-05-29 18:36


asal


Jawaban:


Anda dapat mengunduh file artefak (.asc) tersebut dengan mudah dan memeriksa tanda tangan secara manual. Maven Central dapat diakses melalui http seperti ini:

http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc

4
2018-05-30 22:07



Jika Anda ingin memeriksa semua tanda pgp dari ketergantungan proyek Anda secara otomatis, Anda dapat mencoba mengeksekusi:

mvn com.github.s4u.plugins:pgpverify-maven-plugin:check

Plugin ini mengunduh semua file signature (.asc) dan kunci pgp yang diperlukan untuk melakukan pemeriksaan tanda tangan.

Info lebih lanjut tentang plugin ini dapat Anda temukan di situs: http://www.simplify4u.org/pgpverify-maven-plugin/


8
2018-06-12 18:02