특히, 소노 타이프에 새로운 키 쌍이 있다는 것을 어떻게 말합니까?패키지의 Sonatype 인증은 어떻게 작동합니까?
PGP 공용 키를 풀에 게시하고 내 아티팩트를 개인 키로 서명하십시오. Sonatype Nexus에 해당 아티팩트를 업로드하면 패키지를 어떻게 인증합니까? 어떤면에서 다른 사람이 서명 한 패키지와 나를 서명 한 패키지를 구별 할 수 있습니까?
소나타이프에 내 공개 키가 무엇인지 알려주는 단계가 있다고 상상해보십시오. 그러나 그 일을 기억하지 못하고 문서에서 볼 수 없습니다.
이슈를 OSSRH를 통해 중앙 저장소에 업로드하는 것에 대해 문의하신 것으로 가정합니다. current user documentation for OSSRH 세부 정보는 알고있는대로 GPG로 패키지에 서명해야합니다. 업로드는 OSSRH와 사용자 이름을 통해 이루어집니다. 패키지의 인증은 사용자 권한 정보를 통해 수행 된 다음 패키지 서명이 공용 키 풀에 대해 검증됩니다. AFAIK는 패키지가 귀하가 서명했는지 여부를 확인하지 않고 공개적으로 사용 가능한 유효한 키로 서명 한 것으로 사용자 이름/암호로만 업로드 할 수 있습니다.
업데이트 : 서명 된 아티팩트가 필요하다는 이점은 다운로드시 이슈가 서명과 체크섬을 검사 할 수 있기 때문에 업 로더가 제출 한 원래 패키지 만 다운로드하고 중앙 또는 서버로의 전송. 이와 관련하여 Sonatype의 저렴한 서비스로 제공되는 https를 통해 Central에 연결하고 Nexus Pro에서 기본적으로 사용하는 것이 좋습니다.
감사합니다. 한가지 더 질문 : 오래된 서명이있을 경우 패키지에 서명하면 어떤 이점이 있습니까? – Synesso
답변이 업데이트되었습니다. Hth. –