SSLが有効なセントラルリポジトリがあるかどうかを確認しようとしていましたが、おそらくそうではありません。私は、すべてのjarファイルとpomファイルの署名がmavenの中央リポジトリにあることに気付きました。だから、少なくとも私はダウンロードされたすべてのファイル(pom/jar)の署名をチェックしたいと思います。 http://repo1.maven.org/maven2/org/apache/ant/ant/1.8.2/からダウンロードしたpom/jarファイルの署名を確認する
例:
ant-1.8.2.jar
ant-1.8.2.jar.asc
ant-1.8.2.jar.asc.md5
ant-1.8.2.jar.asc.sha1
ant-1.8.2.jar.md5
ant-1.8.2.jar.sha1
ant-1.8.2.pom
ant-1.8.2.pom.asc
ant-1.8.2.pom.asc.md5
ant-1.8.2.pom.asc.sha1
ant-1.8.2.pom.md5
ant-1.8.2.pom.sha1
私はすべてのリポジトリの公開鍵をインポートする必要がありますことを認識し、私はそれで大丈夫ですよ。私は、Maven中心の公開鍵はここにあると思いますhttps://svn.apache.org/repos/asf/maven/project/KEYS。
mavenを使用して署名する方法については、Web上に多数のチュートリアルがあります。しかし、ダウンロードしたjar/pomファイルの署名を確認するためにmaven(2または3)を強制する方法に関する情報は見つかりませんでした。出来ますか?
(ネクサスProfessionalはオプションではありません)
は助けてくれてありがとう。
各アーティファクトは、個々のアップローダーの鍵で署名されたので、私はKEYSはそれらが含まれていることを知りません。たとえば、登録時。 Sonatype OSSサーバーでは、アップローダーのPGPキーがファイルに格納されるフェーズはありません。それは、私もこれに対する答えがほしいと言った。 –
[MNG-2477](http://jira.codehaus.org/browse/MNG-2477)は、この機能をMavenに追加するための(現在開いている)問題です。 – Joe
Artifactoryなどを使用していますか?それはオプションですか? プラグインを見てください:http://www.jfrog.com/home/v_artifactorypro_features#addon-webstart – Pmt