CI 环境中 Maven 项目的 GPG 密钥保存在哪里?
我正在尝试使用 maven-gpg-plugin:sign 以便在部署到 Sonatype OSS 存储库之前对项目工件进行签名。问题是我应该在哪里保存我的密钥 secring.gpg:
- 在持续集成
~/.gnupg目录 - 中 在项目源代码中,例如
src/test/resources /gpg/secring.gpg
为什么?
I'm trying to use maven-gpg-plugin:sign in order to sign project artifacts before deployment to Sonatype OSS repository. The question is where shall I keep my secret key secring.gpg:
- In continuous integration
~/.gnupgdirectory - In project source code, e.g.
src/test/resources/gpg/secring.gpg
And why?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
如果密钥敏感,请将其放在 CI 服务器上的 ~/.gnupg 目录中,并使用适当的访问修饰符保护该目录。
第二种方法将允许每个有权访问项目的开发人员看到密钥。
If key is sensitive put it in ~/.gnupg directory on CI server and protect that directory with proper access modifiers.
2nd approach will allow every developer with access to project to see key.