Maven存储库中的工件具有MD5和SHA1哈希值。在上传工件之后,本地Maven安装或存储库服务器在构建期间生成的哈希值在哪里?
答案 0 :(得分:2)
.md5和.sha1哈希值是在部署之前由Maven的Artifact处理代码生成的(尽管2.1.0和2.2.0中的错误导致哈希值被更早地计算出来,这就是为什么这些特定版本部署了不正确的哈希值并且是被认为是一个坏主意)
如果您想要验证工件的真实性,那么所有最近(至少在最近两年)中央发布的gpg签名都必须具备。
将.md5和.sha1哈希视为工件完整的验证,并将gpg视为验证工件是否真实