在我的 Debian 3.2.54-2 构建服务器上,我想用我的私钥对构建工件(JAR 文件)进行签名以确保其真实性。
我使用 GnuPG 创建了一个私钥secring.gpg
并用密码保护它。我使用 Jenkins 和 Gradle 进行自动构建和签名。我必须将位置传递给 Gradle,secring.gpg
以便它可以对 JAR 进行签名,但我不知道将其放在哪里。
关于这一点,是否有任何惯例或最佳实践?
我浏览了相关问题,并在谷歌上搜索了该问题,但没有找到任何答案。
我对安全相关主题还不熟悉,因此如果我可以提供任何其他信息,请告诉我。
谢谢。
答案1
我必须将 secring.gpg 的位置传递给 Gradle,以便它可以签署 JAR,但我不确定将它放在哪里。
关于这一点,是否有任何惯例或最佳实践?
在这方面唯一接近“标准”的做法是将您的密钥环放在需要访问它的用户的主目录内的点文件夹中。
确保设置权限,使得只有相关用户才具有对文件的读/写访问权限。