hosteons中文网

基于网络的开源项目，能给用户带来在公共标准基础上的自由发挥，并且能很好地给每个自愿人士提供了共享贡献的机会。但是，同时也因为大众化给使用共享的程序员或团队带来了安全性问题。

当程序员从中央仓库下载第三方构件的时候，下载的文件有可能被另外一个人篡改过，从而破坏代码。为了确定下载的内容是正确的，一般在发布自己构件的同时，还会发布一个签名认证文件。

使用者在使用下载的第三方构件前，先通过签名验证后，确定没有被篡改后再安心使用。GPG 就是这样一个认证签名技术。

接下来就介绍如何使用 GPG 技术，为发布的 Maven 构件签名，从而提高项目的安全性。

GnuPG，简称 GPG，来自 http://www.gnupg.org，是 GPG 标准的一个免费实现。不管是 Linux 还是 Windows 平台，都可以使用。GPGneng 可以为文件生成签名、管理密匙以及验证签名。

下面介绍如何使用 GPG 实现文件签名，并验证签名文件。

下载安装 GPG：访问 http://www.gnupg.org/download，下载适合自己操作系统平台的安装程序。这里下载的是 Windows 平台的 gpg4win-2.3.3.exe。

安装完成后，打开 CMD 窗口，输入gpg --version，出现如图 1 信息表示安装成功：

图 1  显示结果