ドライバーアーティファクトの署名の検証

項目一覧

Overview

手順
詳細情報

Overview

Maven に公開された Java ドライバーアーティファクトの署名を検証できます。このプロセスにより、ドライバーの認証性を確認できるようになり、システムまたはネットワークのセキュリティを強化できます。

手順

次の手順では、ドライバーアーティファクトの署名を検証する方法について説明します。

暗号化ソフトウェアのインストール

最初に GnuPG をインストールする必要があります暗号化スイートを使用すると、コマンドラインで GPG を使用できます。You can install GnuPG by using Homebrew.

Tip

代わりに、 GPG スイートをインストールできます、GPG を使用するための GUI を提供します。Homebrew のインストールがあります GPG スイート用。

公開鍵のダウンロードとインポート

リリースに移動MongoDB JVM ドライバーGithub リポジトリのページ。各バージョンリリースには、署名を検証するための公開鍵をダウンロードしてインポートする方法に関する手順が記載されています。

署名付きファイルをダウンロード

In your terminal, run the curl command to download the signed file corresponding to a version of the driver. たとえば、次のコマンドを実行すると、v 5.1.0の署名されたファイルがダウンロードされますドライバー:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

ファイル署名のダウンロード

ターミナルでcurlコマンドを実行して、ドライバーのバージョンに対応するファイル署名をダウンロードします。たとえば、次のコマンドを実行すると、v 5.1.0のファイル署名がダウンロードされますドライバー:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

署名を検証します

最後に、暗号化パッケージを使用して署名を検証します。次のターミナルコマンドはgpgを使用して v 5.1.0のアーティファクト署名を検証します。ドライバー:

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

署名が正常に検証されると、次のようなメッセージが表示されます。

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8

詳細情報

署名の検証の詳細については、サーバーマニュアルの「 MongoDB パッケージの整合性の検証」を参照してください。

戻る

ドライバーのバージョンをアップグレードする

レガシー API からの移行