Kde udržet GPG tajný klíč pro projekt Maven v CI prostředí?

hlasů
6

Snažím se používat Maven-gpg-plugin: znamení , aby k podpisu projektové artefakty před nasazením do Sonatype OSS repozitáře. Otázkou je, kde se držím tajného klíče secring.gpg:

  1. Při nepřetržitém integrace ~/.gnupgadresáře
  2. V projektu zdrojový kód, např src/test/resources/gpg/secring.gpg

A proč?

Položena 22/12/2010 v 18:39
zdroj uživatelem
V jiných jazycích...                            


1 odpovědí

hlasů
3

Pokud klíč je citlivý dát ji do ~ / .gnupg adresáře na serveru CI a chránit tento adresář vhodnými modifikátory přístupu. 2. přístup umožní každý vývojář s přístupem do projektu vidět klíč.

Odpovězeno 22/12/2010 v 18:48
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more