我有许多 Java 和 Clojure 开源项目,我使用 Maven 构建这些项目并将其部署到公共(public)存储库 (clojars.org)。我使用 Eclipse 作为 IDE,使用 git/GitHub 进行源代码控制,使用 Windows 7 作为操作系统,使用 PuTTY/pageant 作为我的 key 。
这很有效,但我想确保我遵循最佳实践并对我的所有 Artifact 进行签名,以便其他人可以信任它们,同时我也可以验证这些 Artifact 没有被篡改。
我应该采取哪些关键步骤来确保我的所有 Artifact 都得到正确签名和验证?理想情况下,我希望它能很好地集成到 Maven 构建过程中,这样我就不必执行额外的手动步骤。
最佳答案
除了签名之外,您还需要在不与 Maven 存储库位于同一位置的某个地方提供签名和公钥,例如你的网页。否则签名达不到提高他人信任的目的,只能达到提高自己信任的目的。如果我不能确定 Artifact 上的签名是你的,我的信任度不会提高。
关于java - 使用 Maven + Java + Clojure 确保良好的安全性/代码签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13586700/