Как работает подписание и проверка GPG?

Я добавил открытый ключ и закрытый ключ для подписи GPG в Bintray. Согласно документу загруженный контент будет автоматически подписан с использованием закрытого ключа.

Подписание GPG позволяет автоматически подписывать загруженный контент. Дополнительную информацию можно найти в документации.

Согласно документации, пользователи могут проверять содержимое с помощью открытого ключа.

Подписание GPG - это дополнительная функция Bintray, которая позволяет издателю загруженного материала подписывать его, чтобы пользователи могли проверить его подлинность и подлинность.

Как пользователи могут выполнять эту проверку?

Например:

В Android Studio в build.gradle добавлена ​​следующая зависимость

compile 'com.example.test:test:0.0.1'

  • Как проверяется эта зависимость и куда нужно добавить открытый ключ для проверки?

  • Если проверка должна выполняться через терминал с помощью команды gpg, где я получу .aar?


android-studio android jcenter bintray android-library
person uday    schedule 18.09.2017    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Прочитав множество руководств по загрузке библиотек Android в BinTray, я так и не понял, зачем мне нужен ключ PGP.

Вот что я понял:

Если вам нужно загрузить библиотеку Android в jCenter и использовать ее как зависимость Gradle, вам действительно не нужно предоставлять какой-либо ключ PGP в свою учетную запись BinTray. Просто загрузите библиотеку с помощью Android Studio и нажмите: Добавить в jCenter.

Но если вы хотите добавить свою библиотеку в Maven Central, вы должны (но, возможно, я ошибаюсь) подписать ее с помощью ключа PGP.

В документации BinTray:

Использование дополнительной функции подписи GPG (в настоящее время доступно для репозиториев Maven) для подписи вашего материала, чтобы другие пользователи могли его подтвердить как подлинность и оригинал.

Ваши вопросы:

Как проверяется эта зависимость и куда нужно добавить открытый ключ для проверки?

Если вы загружаете свою библиотеку с помощью Android Studio и хотите добавить ее в Maven Central, вам необходимо добавить открытый ключ в файл build.gradle библиотеки. Есть много руководств, как это сделать.

Если проверка должна выполняться через терминал с помощью команды gpg, где я получу .aar?

Проверка происходит, когда кто-то загружает библиотеку в Maven Central (BinTray). Maven Central (BinTray) проверяет, загружена ли библиотека владельцем (или кем-то, у кого есть кодовая фраза PGP).

person bitvale    schedule 16.07.2018