大家好,
在我尝试验证使用Leiningen的项目依赖性真实性时,我惊讶地发现Clojure发布物并没有使用GPG签名。
$ lein deps :verify
[...]
:unsigned [org.clojure/clojure "1.10.1" :scope "provided"]
:unsigned [org.clojure/core.specs.alpha "0.2.44" :scope "provided"]
:unsigned [org.clojure/spec.alpha "0.2.176" :scope "provided"]
:unsigned [org.clojure/tools.logging "1.1.0"]
:unsigned [org.clojure/tools.namespace "1.0.0" :scope "test"]
:unsigned [org.clojure/java.classpath "1.0.0" :scope "test"]
:unsigned [org.clojure/tools.reader "1.3.2" :scope "test"]
我认为,对于像Clojure这样广泛使用的工具,提供让人们检查传递的物件的真伪性的方式很重要,而不应仅仅要求他们信任如Clojars这样的工件注册库以防遭篡改。
由于PGP签名在这一点上相对广泛,我想知道将来Clojure(以及维护在'org.clojure'组ID下的其他工具)的发布能否由负责发布的人员签名?
谢谢
