使用 gpg 对 RPM 进行签名作为持续构建的一部分 - 如何避免提示输入密码？

Question

我有一个持续集成构建系统，它通过 cron 触发的 shell 脚本生成 RPM。我想用 gpg 对 RPM 进行签名，但 gpg 坚持要求用户在控制台手动输入密码，这显然是行不通的，因为 cron 没有用户控制台。

我读过有关 gpg-agent 的内容，它可以让您为当前登录会话输入一次密码，但 cron 再次没有登录会话。我希望能够将 gpg-agent 配置为在启动时接受一次密码，并在需要时将其交给 cron 会话。我不知道这是否可能，并且 gpg-agent 的文档相当少。

另一种方法是在 gpg 要求时使用 Expect 输入密码，但显然这是一个很大的安全漏洞，因为密码需要包含在构建脚本中。

Answer 1

您应该在启动时启动 gpg-agent 并保存 GPG_AGENT_INFO 环境变量。然后您可以在脚本环境中设置它并且应该按预期工作。此外，请确保 GPG_AGENT_INFO 中套接字的权限允许您的脚本读取它。

Answer 2

无论您使用什么构建工具来生成 RPM，都可以对其进行签名。例如，gradle 有一个插件可以为您进行签名。您必须使用密钥环文件的 ID、密码和位置创建一个属性文件，它会完成其余的工作。

请参阅：https://docs.gradle.org/current/userguide/signing_plugin.html