Open Source Project - Je důležité podepsat sklenice?

hlasů
2

Mám open source několik mých projektů a publikovali artefakty na sonatype.org. Je důležité, aby podepsat artefakty, to JBoss a další open source vydavatelé podepsat svůj kód?

Položena 13/08/2010 v 13:45
zdroj uživatelem
V jiných jazycích...                            


2 odpovědí

hlasů
1

Je důležité a je skutečně potřebné, abyste mohli svůj artefakt synchronizována s trustable úložiště jako Maven Central. Od Jak generovat PGP podpisů s Maven :

Pokud vyvíjíte software pomocí Maven byste vygenerovat PGP podpis pro své vydání. Uvolnění software s platnými podpisy znamená, že vaši zákazníci mohou ověřit, zda software artefakt byl vytvořen původní autor a že nebyl změněn kýmkoli v tranzitu . Nejvíce velké OSS výhně jako Apache Software Foundation vyžadují všechny projekty, které mají být uvolněny správcem uvolňování, jehož klíč byl podepsán dalšími členy organizace, a pokud chcete synchronizovat vaše softwarové artefakty Maven centrální jste povinni poskytnout PGP podpisů ,

Zda ostatní lidé, nebo ne dělat svou vlastní úložiště je irelevantní.

viz též

Odpovězeno 13/08/2010 v 14:43
zdroj uživatelem

hlasů
0

Není za normálních okolností. Já myslím, že podepsané JAR jsou primárně užitečné, když chcete, aby zákazníci stáhnout svůj kód přímo do JVM stupně, který je spuštěn v prohlížeči nebo pomocí Web Start; když se ptáte, aby uživatel důvěřovat své applet nebo aplikace s některými dalšími oprávněními systému, je důležité, že máte důkaz, že jste, kdo říkáte, že jste.

Existuje celá řada dalších užitných případy, kdy budete chtít podepsat, i když obvykle ve stejném duchu. Eclipse složky (možná OSGi obecně), může být podepsána poskytnout informace o uživateli o tom, kdo poskytuje komponentu uživatel chce instalovat.

Odpovězeno 13/08/2010 v 14:32
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more