signjar & jar: знак против контрольной суммы Artifactory

Question

Если в рамках моей сборки я подпишу банку с помощью задачи Ant signjar, она будет считаться «подписанной банкой».То же самое можно сделать в Maven-land, выполнив цель jar:sign.

Менеджеры репозитория, такие как Artifactory, имеют концепцию контрольных сумм, в которых вы можете проваливать развертывание на плохих контрольных суммах, вы можете пересчитать плохие / пропущенные контрольные суммыи предпринять всевозможные другие действия, основанные на статусе контрольной суммы.

Мне интересно, какова связь между результатами («подписанием») jar-файлов с помощью таких методов, как signjar или jar:sign, с точки зрения Artifactoryконтрольных сумм.

Являются ли "контрольные суммы" просто общим термином для того, что получается при выполнении этих задач / целей подписи?Или это совершенно разные вещи?

Answer 1

Контрольная сумма - это числовое представление содержимого файла. Подписание - это процесс добавления подписи в файл.

Поскольку размер и содержание файла изменяются во время подписания, контрольные суммы одного и того же файла, подписанного и неподписанного, будут отличаться.

Процесс проверки успешности передачи файла с помощью контрольных сумм не является особенным для Artifactory. Для загрузки это выглядит так:

1. Клиент вычисляет контрольную сумму перед загрузкой файла.
2. Клиент загружает контрольную сумму вдоль файла (обычно в отдельном текстовом файле с расширениями .md5 или sha1, которые являются двумя способами вычисления контрольных сумм).
3. После того, как сервер загрузки вычисляет контрольную сумму для загруженного файла.
4. Сервер сравнивает свою контрольную сумму с загруженной контрольной суммой. Если они совпадают - все зеленые. Если нет - это зависит от настроек, которые вы указали в своем вопросе (не удалось загрузить или пропустить его в любом случае).

Когда вы используете инструмент сборки (Maven или Ivy) для развертывания jar-файлов в Artifactory после подписания, вычисленная контрольная сумма будет правильной (для подписанного jar-файла), поэтому все должно работать как положено.

Answer 2

Подписанный кувшин дает гарантию, что его содержимое было создано лицом, подписавшим его. Хотя контрольная сумма - это просто проверка того, что файл не поврежден. Например, кто-то может изменить файл и изменить контрольную сумму в соответствии с новым содержимым.