CentralのMavenアーティファクトのPGP署名を手動で確認したいのですが、どこから始めればよいのかわかりません。
中央リポジトリにアーティファクトをアップロードするためのApacheのガイドに、「すべてのアーティファクトにPGP署名を提供する必要がある」と書かれていることがわかります。
そして、SonatypeのNexus Proソフトウェアが、NexusProの機能に関するブログ投稿で署名の検証について言及しているのを見てきました。
しかし、署名を手動で取得する方法に関する情報が見つかりません。私は実際の検証を実行するのに十分なGPGに精通しています。.ascCentralでアーティファクトのファイルを取得するにはどうすればよいですか?
プロジェクトの依存関係のすべてのpgp署名を自動的に確認する場合は、次のコマンドを実行してみてください。
mvn org.simplify4u.plugins:pgpverify-maven-plugin:check
このプラグインは、すべての署名(.asc)ファイルと、署名チェックを行うために必要なpgpキーをダウンロードします。
には別の目標showがpgpverify-maven-pluginあるため、署名のみを表示したい場合は、次のように実行できます。
mvn org.simplify4u.plugins:pgpverify-maven-plugin:show -Dartifact=junit:junit:4.12
このプラグインの詳細については、サイトで見つけることができます: https ://www.simplify4u.org/pgpverify-maven-plugin/
これらのアーティファクト(.asc)ファイルを簡単にダウンロードして、署名を手動で確認できます。Maven Centralには、次のようにhttpからアクセスできます。
http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc