请在2024年Clojure状态调查!分享您的想法。

欢迎!有关如何操作的更多信息,请参见关于页面。

提出一个问题

为什么Clojure的发布工件不使用GPG进行签名?

0
Clojure
编辑

您好,

在尝试验证使用Leiningen的项目依赖关系的真实性时,我惊异地发现Clojure的发布工件没有使用GPG进行签名。

$ lein deps :verify

[...]
:unsigned [org.clojure/clojure "1.10.1" :scope "provided"]
:unsigned [org.clojure/core.specs.alpha "0.2.44" :scope "provided"]
:unsigned [org.clojure/spec.alpha "0.2.176" :scope "provided"]
:unsigned [org.clojure/tools.logging "1.1.0"]
:unsigned [org.clojure/tools.namespace "1.0.0" :scope "test"]
:unsigned [org.clojure/java.classpath "1.0.0" :scope "test"]
:unsigned [org.clojure/tools.reader "1.3.2" :scope "test"]

我认为对于像Clojure这样广泛使用的工具,提供让人们检查所提供的工件真实性的方法非常重要,而不仅仅是要求他们相信像Clojars这样的工件注册中心不会受损。

鉴于PGP签名在这个问题上相对普遍,我想知道,是否可能在未来Clojure(以及在其'org.clojure'组ID下维护的其他工具)的发布中,由负责发布的人进行签名?

谢谢

1 答案

+1

选中
 
最佳答案

所有 Clojure 项目的 artifact 都由 GPG 签名,且签名在 Maven central 上。您可以在以下链接找到密钥认证信息:https://clojure.org/releases/download_key

为什么 Leiningen 会这么说,我不知道——这是一个你可以问维护者的问题。

by
很好,我将进一步调查以了解为什么 Leiningen 找不到签名。
由Cognitect代表Clojure社区维护
...