オープンソースプロジェクト - 瓶に署名することが重要ですか?
-
28-09-2019 - |
質問
私はいくつかのプロジェクトを開き、sonatype.orgでアーティファクトを公開しました。 JBossや他のオープンソースの出版社は、あなたのアーティファクトに署名することが重要ですか?
解決
それは重要であり、実際にあなたのアーティファクトをMaven Centralのような信頼できるリポジトリと同期させる必要があります。から MavenでPGP署名を生成する方法:
Mavenを使用してソフトウェアを開発している場合は、リリース用のPGP署名を生成する必要があります。 有効な署名を使用してソフトウェアをリリースすると、顧客がソフトウェアアーティファクトが元の著者によって生成されたことを確認でき、輸送中の人によって変更されていないことを意味します。. 。 Apache Software FoundationのようなほとんどのOSS Forgは、すべてのプロジェクトを、組織の他のメンバーによって署名されたキーがリリースマネージャーによってリリースされることを要求し、 ソフトウェアアーティファクトをMaven Centralに同期させたい場合は、PGP署名を提供する必要があります.
他の人が自分のリポジトリでそれをしているかどうかは無関係です。
参照してください
他のヒント
正常ではありません。私 考える その署名されたJARは、ブラウザで実行されているJVMインスタンスまたはWebスタートを介してコードを直接ダウンロードする場合に主に役立ちます。ユーザーに、いくつかの追加のシステム許可を使用してアプレットまたはアプリケーションを信頼するように依頼する場合、自分が自分が言う人であることを証明することが重要です。
ただし、通常は同じ行に沿って署名したい他の多くのユースケースがあります。 Eclipseコンポーネント(おそらくOSGI全般)は、ユーザーがインストールしたいコンポーネントを誰が提供するかについてのユーザー情報を提供するために署名できます。