为什么使用Maven-GPG用GnuPG签署项目的工件？

Question

我有两个问题要问；

首先，我需要知道用"GnuPG“对java项目的工件进行签名的重要性。

我目前的情况是，我正在考虑发布我的第一个公共java项目。我正在使用Maven来构建和管理这个项目，并遇到了"Maven-GPG-Plugin“。插件上的文档非常模糊，没有描述为什么 one应该用"GnuPG“对工件进行签名。我没有使用GnuPG/ maven -GPG的经验，所以我想知道使用这个maven插件有什么好处？

第二个问题是如何在Eclipse中的java项目中使用这个插件？

在我构建项目时，只需在我的pom.xml中添加以下内容就可以帮我签名了吗？

<build>
<plugins>
  <plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-gpg-plugin</artifactId>
    <executions>
      <execution>
        <id>sign-artifacts</id>
        <phase>verify</phase>
        <goals>
          <goal>sign</goal>
        </goals>
      </execution>
    </executions>
  </plugin>
</plugins>
</build>

如果不是，我将如何正确地在Eclipse中使用maven对项目进行签名？

谢谢!

Answer 1

我没有在Maven中实际使用GnuPG的经验(我从未发布过Maven插件)，因此我将只回答您问题的第一部分。

插件上的文档非常模糊，没有描述为什么要用"GnuPG“对工件进行签名。我没有使用GnuPG/ maven -GPG的经验，所以我想知道使用这个maven插件有什么好处？

简单的散列和，只能用于实现意外传输问题，如位翻转。与这些不同的是，GnuPG发布加密签名，它也能够识别传输问题，但还允许您验证签名数据的作者。

如果没有密码签名，就无法知道您正在下载和执行的代码/程序实际上是否是您所期望的。丢失或未经验证的密码签名一次又一次地导致下载与后门，就在最近的Linux有这样一个问题。

密码签名并不意味着代码是正确的，没有(安全性)问题，但至少知道您有相同的代码作者发布，这大大减少了后门的机会。