https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar所有 Clojure 和 Clojure 貢獻的 JAR 檔在上傳至 Maven Central 儲存庫時都會簽章。Maven Central 中的典型 URL 會類似於
https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar您的相依性管理員/建置工具會將該檔案下載至您的本機 Maven 快取,通常為
~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jar您可以在 Maven 中附加 .asc 至任何 JAR 或 POM URL 以取得該檔案的簽章
curl -O https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar.asc用於簽署所有 JAR 檔的 Clojure 金鑰已在 MIT 金鑰伺服器 (pgp.mit.edu) 中註冊
ID:8D06684A958AE602
指紋:9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
說明:Clojure/core (build.clojure.org Release Key version 2) <core@clojure.com>
您可以透過驗證 JAR 檔和簽章來檢查這一點
$ gpg --verify clojure-1.11.2.jar.asc ~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jar gpg: Signature made Thu Jun 6 08:43:47 2019 CDT gpg: using RSA key 8D06684A958AE602 gpg: Good signature from "Clojure/core (build.clojure.org Release Key version 2) <core@clojure.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
這會報告一個良好的簽章(內容即為已簽署的內容),但會警告此金鑰在您的 GPG 組態中不受信任。將金鑰標示為受信任的超出了此頁面的範圍,但您可以透過與上述官方金鑰比較來手動驗證。
|
要執行 gpg --verify,您可能需要更新您的 GPG 版本,並使用可以找到 MIT 金鑰伺服器 (pgp.mit.edu) 的 DNS 伺服器。 |