为什么Clojure发布工件没有使用GPG进行签名？

Question

您好，

当我尝试验证使用Leiningen的项目依赖关系的真实性时，我惊讶地发现Clojure发布工件没有使用GPG进行签名。

$ lein deps :verify

[...]
:unsigned [org.clojure/clojure "1.10.1" :scope "provided"]
:unsigned [org.clojure/core.specs.alpha "0.2.44" :scope "provided"]
:unsigned [org.clojure/spec.alpha "0.2.176" :scope "provided"]
:unsigned [org.clojure/tools.logging "1.1.0"]
:unsigned [org.clojure/tools.namespace "1.0.0" :scope "test"]
:unsigned [org.clojure/java.classpath "1.0.0" :scope "test"]
:unsigned [org.clojure/tools.reader "1.3.2" :scope "test"]

我认为对于像Clojure这样广泛使用的工具，提供检查交付工件真实性的方法很重要，并且不应该要求他们只信任Clojars这样的工件注册表。

鉴于PGP签名在该领域相对普遍，我想知道是否可能为Clojure的未来版本（以及其他在'org.clojure'组ID维护的工具）由负责人进行签名？

谢谢

Answer 1

所有Clojure工件都由GPG签名，签名字符将上传到Maven central。您可以在https://clojure.org/releases/download_key找到密钥认证信息

为什么Leiningen会这样说，我不知道——这应该是一个你可以问维护者的问题。

Comments

很好，我会进一步调查以了解为什么Leiningen找不到签名。