在我的Debian 3.2.54-2构build服务器上,我想用我的私钥签署构build工件(JAR文件),以确保它们的真实性。
我使用GnuPG创build了一个私钥secring.gpg并用密码保护它。 我正在使用Jenkins和Gradle进行自动化构build和签名。 我必须通过Gradle的secring.gpg的位置,以便它可以签署JAR,但我不知道该把它放在哪里。
有关于此的任何约定或最佳做法?
我已经浏览了相关的问题,并search了这个问题,但是这并没有给我任何答案。
我不熟悉安全相关的主题,所以如果我可以提供任何其他信息,请让我知道。
谢谢。
我必须通过Gradle的secring.gpg的位置,以便它可以签署JAR,但我不知道该把它放在哪里。
有关于此的任何约定或最佳做法?
在这方面唯一接近“标准”的方法是把你的钥匙圈放在任何用户需要访问的主目录中的一个网页文件夹中。
确保权限设置为只有相关用户具有对文件的读/写权限。