Ver una firma de PGP en un artefacto de Maven

Me gustaría verificar manualmente la firma de PGP en un artefacto de Maven desde Central, pero no sé por dónde empezar.Ver una firma de PGP en un artefacto de Maven

Veo en Apache's Guide to uploading artifacts to the Central Repository que dice "requerimos que proporcione las firmas de PGP para todos sus artefactos".

Y he visto que el software Pro Nexus Sonatype menciona la verificación de firmas en un blog post on Nexus Pro features

, pero no puedo encontrar ninguna información sobre cómo obtener las firmas de forma manual. Estoy lo suficientemente familiarizado con GPG para realizar la verificación real. ¿Cómo obtengo un archivo .asc para un artefacto en Central?

Fuente

2012-05-29 Nathaniel Waisbrot

Puede descargar simplemente esos archivos de artefactos (.asc) y verificar manualmente la firma. Maven Central es accesible a través de HTTP como esto:

http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc

Fuente

2012-05-30 22:07:13 khmarbaise

OK, desembalaje su respuesta un poco: Para una dependencia del ' xyz foo 1.0 ' La URL para la firma del artefacto JAR sería 'http: //search.maven.org/remotecontent? Filepath = x/y/z/foo/1.0/foo-1.0.jar.asc' ¡Genial! Estuve buscando en http://mvnrepository.com y no encontré ninguna firma. –

Si desea comprobar todas las firmas PGP de su dependencia del proyecto de forma automática, puede intentar ejecutar:

mvn com.github.s4u.plugins:pgpverify-maven-plugin:check

descargas este plugin toda firma (.asc) archivos y la clave pgp necesaria para hacer un control de firma.

Más información sobre este plugin se puede encontrar en el sitio: http://www.simplify4u.org/pgpverify-maven-plugin/

Fuente

2014-06-12 18:02:44

Ver una firma de PGP en un artefacto de Maven

Respuesta

Cuestiones relacionadas