ドライバー アーティファクトの署名の検証
Overview
Maven に公開された Java Reactive Streams ドライバー アーティファクトの署名を検証できます。 このプロセスにより、ドライバーの認証性を確認できるようになり、システムまたはネットワークのセキュリティを強化できます。
手順
次の手順では、ドライバー アーティファクトの署名を検証する方法について説明します。
1
暗号化ソフトウェアのインストール
最初に GnuPG をインストールする必要があります 暗号化スイートを使用すると、コマンドラインで GPG を使用できます。You can install GnuPG by using Homebrew.
Tip
代わりに、 GPG スイート をインストールできます 、GPG を使用するための GUI を提供します。Homebrew のインストール があります GPG スイート用。
2
公開鍵のダウンロードとインポート
リリース に移動MongoDB JVM ドライバーGithub リポジトリのページ。各バージョン リリースには、署名を検証するための公開鍵をダウンロードしてインポートする方法に関する手順が記載されています。
3
4
5
署名を検証します
最後に、暗号化パッケージを使用して署名を検証します。 次のターミナルコマンドはgpg
を使用して v 5.1.0のアーティファクト署名を検証します。 ドライバー:
gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar
署名が正常に検証されると、次のようなメッセージが表示されます。
gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT gpg: using RSA key 76E0008D166740A8 gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 1A75 005E 1421 9222 3D6A 7C3B 76E0 008D 1667 40A8
詳細情報
署名の検証の詳細については、サーバー マニュアルの「 MongoDB パッケージの整合性の検証 」を参照してください。