1

Maven 存储库中的工件具有 MD5 和 SHA1 哈希值。在构建期间由本地 Maven 安装或在工件上传后由存储库服务器生成的哈希值在哪里?

4

1 回答 1

2

.md5 和 .sha1 哈希是在部署之前由 Maven 的 Artifact 处理代码生成的(尽管 2.1.0 和 2.2.0 中的错误导致哈希被较早计算,这就是为什么这些特定版本部署不正确的哈希并被认为是坏的想法使用)

如果您想验证工件的真实性,那么中央所有最近(至少最近 2 年)发布的 gpg 签名也必须具有。

考虑.md5.sha1散列作为验证工件是否完整,将 gpg 视为验证工件是真实的

于 2012-11-10T13:47:12.463 回答