我想从Central手动验证Maven工件上的PGP签名,但我不知道从哪里开始。
我在Apache的Guide to uploading artifacts to the Central Repository上看到它说“我们要求你为所有工件提供PGP签名”。
我已经看到Sonatype的Nexus Pro软件提到在blog post on Nexus Pro features
中验证签名但我无法找到有关如何手动获取签名的任何信息。我对GPG足够熟悉,可以执行实际验证。如何在Central中获取工件的.asc文件?
答案 0 :(得分:8)
如果要自动检查项目依赖项的所有pgp签名,可以尝试执行:
mvn com.github.s4u.plugins:pgpverify-maven-plugin:check
此插件下载所有签名(.asc)文件,并需要pgp密钥进行签名检查。
有关此插件的更多信息,您可以在网站上找到: http://www.simplify4u.org/pgpverify-maven-plugin/
答案 1 :(得分:5)
您可以简单地下载这些工件(.asc)文件并手动检查签名。可以通过http访问Maven Central:
http://search.maven.org/remotecontent?filepath=com/soebes/smpp/smpp/0.4/smpp-0.4.pom.asc