На моем сервере сборки Debian 3.2.54-2 я хотел бы подписать артефакты сборки (файлы JAR) своим закрытым ключом, чтобы гарантировать их подлинность.
Я создал закрытый ключ secring.gpg
с помощью GnuPG и защитил его паролем. Я использую Jenkins и Gradle для автоматического создания и подписи. Мне нужно передать Gradle местонахождение secring.gpg
так что он может подписывать JAR, но я не уверен, куда его положить.
Есть ли какие-либо соглашения или лучшие практики по этому поводу?
Я просмотрел связанные вопросы и искал их в Google, но это не дало мне ответов.
Я новичок в темах, связанных с безопасностью, поэтому, если я могу предоставить дополнительную информацию, сообщите мне.
Спасибо.
Мне нужно передать Gradle расположение secring.gpg, чтобы он мог подписывать JAR, но я не уверен, куда его поместить.
Есть ли какие-либо соглашения или лучшие практики по этому поводу?
Единственная вещь, близкая к «стандарту» в этом отношении, - это поместить вашу связку ключей в точечную папку в домашнем каталоге любого пользователя, которому нужен к ней доступ.
Убедитесь, что разрешения установлены так, что только соответствующий пользователь имеет доступ для чтения / записи к файлу.