我想從中央手動驗證Maven工件上的PGP簽名,但我不知道從哪裏開始。在Maven工件上查看PGP簽名
我在Apache的Guide to uploading artifacts to the Central Repository上看到它說「我們要求您爲所有工件提供PGP簽名」。
而且我已經看到了Sonatype的的Nexus Pro軟件提到驗證簽名的blog post on Nexus Pro features
但我不能找到如何手動得到簽名的任何信息。我很熟悉GPG進行實際驗證。我如何在中央獲得.asc文件?
您可以簡單地下載這些工件(.asc)文件並手動檢查簽名。 Maven的中央是訪問通過HTTP這樣的:
http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc
如果你想自動檢查您的項目依賴的所有PGP簽名,你可以嘗試執行:
mvn com.github.s4u.plugins:pgpverify-maven-plugin:check
這個插件下載所有簽名(.ASC )文件並需要使用pgp鍵進行簽名檢查。
關於這個插件的更多信息,你可以找到網站: http://www.simplify4u.org/pgpverify-maven-plugin/
OK,拆包你的答案有點: 對於' XYZ 富 1.0 依賴' JAR工件簽名的URL將爲 'http://search.maven.org/remotecontent?filepath = x/y/z/foo/1.0/foo-1.0.jar.asc' 太棒了!我一直在尋找http://mvnrepository.com,沒有找到任何簽名。 –