https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar所有 Clojure 和 Clojure contrib jar 在上传到 Maven Central 仓库时都会被签名。Maven Central 中的典型 URL 将类似于
https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar您的依赖项管理器/构建工具会将该文件下载到您的本地 Maven 缓存,通常位于
~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jar您可以在 Maven 中的任何 jar 或 pom URL 后面追加 .asc,以获取该文件的签名
curl -O https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar.asc用于签署所有 jar 的 Clojure 密钥已在 MIT 密钥服务器 (pgp.mit.edu) 中注册
ID: 8D06684A958AE602
指纹:9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
描述:Clojure/core (build.clojure.org 发布密钥版本 2) <[email protected]>
您可以通过使用签名验证 jar 来检查这一点
$ gpg --verify clojure-1.11.2.jar.asc ~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jar gpg: Signature made Thu Jun 6 08:43:47 2019 CDT gpg: using RSA key 8D06684A958AE602 gpg: Good signature from "Clojure/core (build.clojure.org Release Key version 2) <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
这将报告一个有效的签名(内容与签名内容一致),但会警告您 GPG 配置中不信任此密钥。将密钥标记为受信任超出了本页面的范围,但您可以通过与上面的官方密钥进行比较手动验证。
|
要运行 gpg --verify,您可能需要更新您的 GPG 版本并使用能够找到 MIT 密钥服务器 (pgp.mit.edu) 的 DNS 服务器。 |