Question

Я пытаюсь использовать maven-gpg-plugin: sign для подписания артефактов проекта перед развертыванием в репозиторий Sonatype OSS.Вопрос в том, где мне хранить свой секретный ключ secring.gpg:

При непрерывной интеграции ~/.gnupg каталог
В исходном коде проекта, например, src/test/resources/gpg/secring.gpg

А почему?

Victor Sorokin · Answer 1 · 22 декабря 2010

Если ключ чувствителен, поместите его в каталог ~ / .gnupg на CI-сервере и защитите этот каталог соответствующими модификаторами доступа.Второй подход позволит каждому разработчику, имеющему доступ к проекту, увидеть ключ.

Где хранить секретный ключ GPG для проекта Maven в среде CI?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Где хранить секретный ключ GPG для проекта Maven в среде CI?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы