maven - 如果任何人都可以创建和上传任何 key ，那么 maven 的 OpenPGP 签名有什么意义？

Question

Sonatype 要求(非 SNAPSHOT 版本) Artifact 是 GPG 签名的；公共(public) OpenPGP key 应上传到(MIT) key 服务器。

但是任何人都可以创建任何具有任何名称的 OpenPGP key 和电子邮件，并将它们上传到 key 服务器。 (据我所知；或者我错了吗？)没有将特定软件项目/库与特定公钥相关联的自动机制。当然，如果有人想检查 Artifact 的真实性，可以随时向软件作者索取公钥，或者 key 可能已经在某个地方发布(以将其与特定软件项目相关联的方式)；但由于这不能自动完成，几乎没有人这样做。

因此，似乎整个 OpenPGP 签名过程，同样由于技术性和耗时性，更多的是灌输一种虚假的安全感，而不是实际上为普通用户提供了很多安全性。

那么不应该有一种自动/简化的方式将软件项目与 OpenPGP key 相关联以使整个事情真正安全吗？

Answer 1

应用 OpenPGP 签名允许其他人通过信任网络验证作者身份。由于这确实是一种相当复杂的方法，具有相当陡峭的学习曲线，因此默认情况下不会强制执行。
Sander Mak 写了一个 excellent introduction about verification of OpenPGP signatures in Maven. .遗憾的是，他没有展示更好的自动验证方式，而是使用商业软件作为 Maven Central 代理:

Automatic verification?

By now, you must be thinking 'that is an awful lot of work just to verify a single dependency'. And you're absolutely right. Applications typically use many dependencies, and checking them all by hand quickly becomes tedious. In my opinion, there is a huge opportunity for Maven-based build tools to support automatic PGP signature verification. Until that is the case though, you can also use Sonatype's Nexus repository manager as a proxy to Maven Central. It can automatically check the PGP signatures for proxied artifacts and refuse to serve them when the signature check fails. Unfortunately, this is only possible using the commercial version Nexus Pro, not with the open source version.

我最近遇到了一个相当新的项目， Verify PGP signatures plugin ( code on GitHub )，这是一个 Maven Artifact ，用于验证其他 Artifact 的 OpenPGP 签名，并使您能够将允许签署给定 Artifact 的 key 列入白名单。