标签: java maven-2 continuous-integration maven gnupg
我正在尝试使用maven-gpg-plugin:sign在部署到Sonatype OSS存储库之前签署项目工件。问题是我应该在哪里保留我的密钥secring.gpg:
secring.gpg
~/.gnupg
src/test/resources/gpg/secring.gpg
为什么?
答案 0 :(得分:3)
如果密钥是敏感的,请将其放在CI服务器上的〜/ .gnupg目录中,并使用适当的访问修饰符保护该目录。 第二种方法将允许每个可以访问项目的开发人员查看密钥。