Visualizzazione di una firma PGP su un artefatto Maven

Vorrei verificare manualmente la firma PGP su un artefatto Maven da Central, ma non so da dove iniziare.Visualizzazione di una firma PGP su un artefatto Maven

Vedo su Apache Guide to uploading artifacts to the Central Repository che dice "abbiamo bisogno di fornire le firme PGP per tutti i tuoi artefatti".

E ho visto che il software Nexus Pro Sonatype menziona la verifica delle firme in un blog post on Nexus Pro features

Ma non riesco a trovare tutte le informazioni su come ottenere le firme manualmente. Sono abbastanza familiare con GPG per eseguire la verifica effettiva. Come posso ottenere un file .asc per un artefatto in Central?

fonte

2012-05-29 Nathaniel Waisbrot

È possibile scaricare semplicemente questi file di artefatti (.asc) e controllare manualmente la firma. Maven centrale è accessibile tramite http come questo:

http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc

fonte

2012-05-30 22:07:13 khmarbaise

OK, l'estrazione, la risposta un po ': Per una dipendenza di ' xyz foo 1,0 ' L'URL per la firma del manufatto JAR sarebbe 'http: //search.maven.org/remotecontent? Filepath = x/y/z/foo/1.0/foo-1.0.jar.asc' Ottimo! Ho cercato su http://mvnrepository.com e non ho trovato nessuna firma. –

Se si desidera controllare automaticamente tutte le firme PGP del vostro dipendenze del progetto, si può provare a eseguire:

mvn com.github.s4u.plugins:pgpverify-maven-plugin:check

Questo plugin download in ogni firma (.asc) file e la chiave pgp necessaria per eseguire il controllo della firma.

Maggiori informazioni su questo plugin si possono trovare sul sito: http://www.simplify4u.org/pgpverify-maven-plugin/

fonte

2014-06-12 18:02:44

Visualizzazione di una firma PGP su un artefatto Maven

risposta

Problemi correlati