Sonatype要求(非SNAPSHOT版本的)构件必须经过GPG签名;公共OpenPGP密钥应上传到(MIT)密钥服务器。
但是任何人都可以创建任何名称和电子邮件的OpenPGP密钥,并将它们上传到密钥服务器。据我所知(或者我错了吗?),目前没有自动机制将特定的软件项目/库与特定的公共密钥关联起来。当然,如果有人想要检查构件的真实性,可以随时向软件作者请求公钥,或者密钥可能已经在某个地方发布(以一种将其与特定软件项目相关联的方式);但由于无法进行自动化处理,因此几乎没有人这样做。
因此,整个OpenPGP签名过程似乎更多地是为了灌输一种虚假的安全感,而不是为普通用户提供实际的安全保障,而且这个过程也相当技术性和耗时。
那么,难道不能有一种自动/简化的方式将软件项目与OpenPGP密钥关联起来,从而使整个过程实际上更加安全吗?