我有许多使用 Maven 构建并部署到公共存储库 (clojars.org) 的 Java 和 Clojure 开源项目。我使用 Eclipse 作为 IDE,使用 git / GitHub 进行源代码控制,使用 Windows 7 作为操作系统,使用 PuTTY / 选美作为我的密钥。
这很好用,但我想确保我遵循最佳实践并签署我的所有工件,以便其他人可以信任它们,并且我可以验证这些工件没有被篡改。
我应该采取哪些关键步骤来确保我的所有工件都得到正确签名和验证?理想情况下,我希望它能够很好地集成到 Maven 构建过程中,这样我就不必遵循额外的手动步骤。
除了签名之外,您还需要在与 Maven 存储库不同的地方(例如您的网站)的某个地方提供签名和公钥。否则签名不会达到提高他人信任的目的,只有你自己。如果我不能确定工件上的签名是你的,我的信任度并没有提高。
Maven GPG 插件文档是工件签名的良好起点。
顺便提一下(我知道你提到了 maven,但 leiningen 是 Clojure 的一个很好的替代品,它具有内置的 Clojars 支持):
最新的 Leiningen 预览版支持使用 GPG 密钥进行自动签名,以及使用签名的 pom/jar 进行自动 clojars 部署。上周论坛上有一个帖子(有些人抱怨它有点坏)——我认为它很快就会准备好迎接黄金时段,如果你正在使用 leiningen,这可能是 Clojure 项目的最佳实践.
讨论中有几个分步指南。对于 Windows,您可能需要查看http://www.gpg4win.org/以获得 gpg 支持,以生成密钥。
https://groups.google.com/d/topic/clojure/AsPs9ZonRPQ/discussion
在 clojars 中配置好 GPG 公钥后,
lein deploy clojars您只需进行部署即可。