我想从 Central 手动验证 Maven 工件上的 PGP 签名,但我不知道从哪里开始。
我在 Apache's Guide to uploading artifacts to the Central Repository上看到它说“我们要求您为所有工件提供 PGP 签名”。
我看到 Sonatype 的 Nexus Pro 软件在一篇关于 Nexus Pro 功能的博客文章中提到了验证签名
但我找不到任何有关如何手动获取签名的信息。我对 GPG 足够熟悉,可以进行实际验证。如何.asc在 Central 中获取工件的文件?
如果要自动检查项目依赖项的所有 pgp 签名,可以尝试执行:
mvn org.simplify4u.plugins:pgpverify-maven-plugin:check
此插件下载所有签名 (.asc) 文件和需要 pgp 密钥来进行签名检查。
中还有另一个目标show,pgpverify-maven-plugin因此如果您只想查看签名,则可以执行:
mvn org.simplify4u.plugins:pgpverify-maven-plugin:show -Dartifact=junit:junit:4.12
您可以在网站上找到有关此插件的更多信息: https ://www.simplify4u.org/pgpverify-maven-plugin/
您可以简单地下载这些工件 (.asc) 文件并手动检查签名。Maven Central 可以通过 http 访问,如下所示:
http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc