在我的 Debian 3.2.54-2 构建服务器上,我想用我的私钥对构建工件(JAR 文件)进行签名,以确保它们的真实性。
我使用 GnuPG 创建了一个私钥secring.gpg并用密码保护它。我正在使用 Jenkins 和 Gradle 进行自动构建和签名。我必须将 Gradle 的位置传递给它,secring.gpg以便它可以签署 JAR,但我不确定将它放在哪里。
是否有任何关于此的约定或最佳实践?
我浏览了相关问题并用谷歌搜索了这个问题,但这并没有给我任何答案。
我是安全相关主题的新手,所以如果我可以提供任何其他信息,请告诉我。
谢谢。