我已经开源了我的几个项目,并在 sonatype.org 上发布了工件。签署您的工件是否重要,JBoss 和其他开源发布者是否签署他们的代码?
Walter White
问问题
255 次
2 回答
1
这很重要,并且实际上需要将您的工件与 Maven Central 等可信赖的存储库同步。从如何使用 Maven 生成 PGP 签名:
如果您使用 Maven 开发软件,您应该为您的版本生成 PGP 签名。 发布具有有效签名的软件意味着您的客户可以验证软件工件是由原作者生成的,并且在传输过程中没有被任何人修改过。像 Apache 软件基金会这样的大多数大型 OSS 锻造要求所有项目都由发布经理发布,其密钥已由组织的其他成员签名,如果您想将软件工件同步到 Maven 中心,则需要提供 pgp 签名.
其他人是否使用他们自己的存储库来做这件事是无关紧要的。
也可以看看
于 2010-08-13T13:43:27.453 回答
0
不正常。我认为签名的 JAR 主要适用于您希望客户将代码直接下载到在浏览器上或通过 Web Start 运行的 JVM 实例;当您要求用户通过一些额外的系统权限来信任您的小程序或应用程序时,重要的是您有证据证明您就是您所说的那个人。
但是,还有许多其他用例需要您签名,通常遵循相同的思路。可以对 Eclipse 组件(通常可能是 OSGi)进行签名,以向用户提供有关谁提供用户想要安装的组件的信息。
于 2010-08-13T13:32:55.937 回答