我们有几个基于构建服务器构建的Maven项目。在某些情况下,我们希望签署我们的交付成果。我们使用 Maven Jarsigner Plugin 实现这一点。
我们面临以下问题:
为了隐藏密钥库的密码,我们将它们放入公司的
当在开发人员机器上构建和签署项目时,我们使用自签名证书进行签署。但是当在构建服务器上构建和签署项目时,我们使用我们的“官方”证书进行签署。
这是一个好策略吗?
我们面临以下问题:
- 应该将签名密码存储在哪里?
- 签署Maven项目的好策略是什么?
为了隐藏密钥库的密码,我们将它们放入公司的
pom.xml
文件中。我们也考虑将密码存储在构建服务器上的 settings.xml
中。当在开发人员机器上构建和签署项目时,我们使用自签名证书进行签署。但是当在构建服务器上构建和签署项目时,我们使用我们的“官方”证书进行签署。
这是一个好策略吗?