CI 环境中 Maven 项目的 GPG 密钥保存在哪里?

发布于 2024-10-08 23:31:56 字数 353 浏览 8 评论 0原文

我正在尝试使用 maven-gpg-plugin:sign 以便在部署到 Sonatype OSS 存储库之前对项目工件进行签名。问题是我应该在哪里保存我的密钥 secring.gpg

  1. 在持续集成 ~/.gnupg 目录
  2. 中 在项目源代码中,例如 src/test/resources /gpg/secring.gpg

为什么?

I'm trying to use maven-gpg-plugin:sign in order to sign project artifacts before deployment to Sonatype OSS repository. The question is where shall I keep my secret key secring.gpg:

  1. In continuous integration ~/.gnupg directory
  2. In project source code, e.g. src/test/resources/gpg/secring.gpg

And why?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

百思不得你姐 2024-10-15 23:31:56

如果密钥敏感,请将其放在 CI 服务器上的 ~/.gnupg 目录中,并使用适当的访问修饰符保护该目录。
第二种方法将允许每个有权访问项目的开发人员看到密钥。

If key is sensitive put it in ~/.gnupg directory on CI server and protect that directory with proper access modifiers.
2nd approach will allow every developer with access to project to see key.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文