https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jarクロージャとクロージャ寄与jarは、Maven Centralリポジトリにアップロードされるときにすべて署名されます。Maven Centralの典型的なURLは次のようになります
https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar依存関係マネージャーやビルドツールはそのファイルをローカルのMavenキャッシュにダウンロードします。通常は次の場所です
~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jarファイルの署名を取得するには、MavenのjarやpomのURLに.ascを追加します
curl -O https://repo1.maven.org/maven2/org/clojure/clojure/1.11.2/clojure-1.11.2.jar.ascすべてのjarに署名するために使用されるクロージャキーは、MIT鍵サーバー(pgp.mit.edu)に登録されています
ID: 8D06684A958AE602
指紋: 9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
説明: Clojure/core (build.clojure.org リリースキーバージョン2) <core@clojure.com>
jarをシグネチャで検証して確認できます
$ gpg --verify clojure-1.11.2.jar.asc ~/.m2/repository/org/clojure/clojure/1.11.2/clojure-1.11.2.jar gpg: Signature made Thu Jun 6 08:43:47 2019 CDT gpg: using RSA key 8D06684A958AE602 gpg: Good signature from "Clojure/core (build.clojure.org Release Key version 2) <core@clojure.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9356 B31F 638B 658F B4DD F228 8D06 684A 958A E602
これは適切なシグネチャ(署名された内容)を通知しますが、このキーはGPG構成では信頼されていないと警告します。キーを信頼できるものとしてマークすることはこのページの範囲を超えますが、手動で確認して、上の公式キーと比較することができます。
|
gpg --verifyを実行するには、GPGのバージョンをアップデートし、MIT鍵サーバー(pgp.mit.edu)を検索できるDNSサーバーを使用する必要がある場合があります。 |