Как работает аутентификация пакетов сонатипа?

Question

В частности, как я могу сказать, что у Sonatype есть новая пара ключей?

Я публикую свой открытый ключ PGP в пуле и подпишу свои артефакты с помощью своего личного ключа. Если я загружу эти артефакты в Sonatype Nexus, как он аутентифицирует пакеты? На каком основании он отличает пакеты, подписанные мной из пакетов, подписанных кем-то другим?

Я предполагаю, что есть шаг, на котором я говорю Sonatype, что мой открытый ключ, но я не могу вспомнить, когда-либо делал это, и я не вижу его в документах.

Answer 1

Я предполагаю, что вы спрашиваете о загрузке артефактов в Центральный репозиторий через OSSRH. current user documentation for OSSRH детали, которые вам нужно подписать с GPG, как вам известно. Загрузка осуществляется через OSSRH и имя пользователя, которое у вас есть. Аутентификация пакетов выполняется с помощью учетных данных пользователя, а затем подпись пакета проверяется на пулах открытых ключей. AFAIK НЕ проверяет, подписаны ли вами пакеты, а только что они подписаны с общедоступным, действительным ключом, и вы можете загружать только свое имя пользователя/пароль.

Обновление: Преимущество, связанное с необходимостью подписывания артефактов, заключается в том, что при загрузке артефакты могут быть проверены на подпись и контрольную сумму, и поэтому вы можете загружать только те пакеты, которые были первоначально отправлены загрузчиком, и не были отпущены Центральная или в транспорте на ваш сервер. В связи с этим хорошей идеей является подключение к Central через https, предлагаемое как дешевое обслуживание сонатным типом и используемое по умолчанию в Nexus Pro.