在CI环境中为Maven项目保留GPG密钥的位置?

我正在尝试使用maven-gpg-plugin:sign以便在部署到Sonatype OSS存储库之前签署项目工件。 问题是我应该在哪里保密我的密钥secring.gpg

  1. 在持续集成~/.gnupg目录中
  2. 在项目源代码中,例如src/test/resources/gpg/secring.gpg

为什么?

如果密钥是敏感的,则将其放在CI服务器上的〜/ .gnupg目录中,并使用适当的访问修饰符保护该目录。 第二种方法将允许每个有权访问项目的开发人员查看密钥。

    Interesting Posts

    让BouncyCastle解密GPG加密的消息

    使用DigestInputStream计算来自同一InputStream的多个校验和

    如何选择maven-gpg-plugin用于签署工件的GnuPG密钥?