我想从我们的构建服务器将工件发布到 Maven Central,就像我公司内部项目的常见做法一样,这些项目部署到本地 Nexus。
唯一的区别是 Maven Central 上的工件需要经过 PGP 签名才能被接受。
其他项目如何处理这个问题?我是否需要将我的 PGP 私钥和密码上传到 CI 服务器?这感觉不对,因为私钥通常不应该离开我自己的机器。我应该从本地计算机构建 Maven Central 的版本吗?在多人可以发布工件的团队中,这如何运作?
虽然有一个 关于如何上传工件的官方指南 和 关于使用 PGP 签名的指南,但我的问题并未涵盖其中。
正如 @khmarbaise 所建议的,发布工件应由个人签名。这不应该由 CI/CD 服务器完成。