在我的 Debian 3.2.54-2 构建服务器上,我想用我的私钥对构建工件(JAR 文件)进行签名,以确保它们的真实性。
我使用 GnuPG 创建了一个私钥secring.gpg并用密码保护它。我正在使用 Jenkins 和 Gradle 进行自动构建和签名。我必须将 Gradle 的位置传递给它,secring.gpg以便它可以签署 JAR,但我不确定将它放在哪里。
是否有任何关于此的约定或最佳实践?
我浏览了相关问题并用谷歌搜索了这个问题,但这并没有给我任何答案。
我是安全相关主题的新手,所以如果我可以提供任何其他信息,请告诉我。
谢谢。
在这方面,唯一接近“标准”的是将您的密钥环放在用户需要访问它的主目录中的一个点文件夹中。
确保设置权限,以便只有相关用户对文件具有读/写访问权限。