我想手动验证来自 Central 的 Maven 工件上的 PGP 签名,但我不知道从哪里开始。
我在 Apache 上看到将工件上传到中央存储库的指南它说“我们要求您为所有工件提供 PGP 签名”。
我看到 Sonatype 的 Nexus Pro 软件提到了验证签名有关 Nexus Pro 功能的博客文章
但我找不到任何有关如何手动获取签名的信息。我对GPG足够熟悉,可以进行实际验证。我如何获得.asc
中环文物档案?
如果你想自动检查项目依赖的所有 pgp 签名,你可以尝试执行:
mvn org.simplify4u.plugins:pgpverify-maven-plugin:check
该插件下载所有签名(.asc)文件并需要 pgp 密钥来进行签名检查。
还有另一个目标show
in pgpverify-maven-plugin
,所以如果您只想查看签名,您可以执行:
mvn org.simplify4u.plugins:pgpverify-maven-plugin:show -Dartifact=junit:junit:4.12
有关此插件的更多信息,您可以在网站上找到:https://www.simplify4u.org/pgpverify-maven-plugin/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)