Validar assinaturas de artefatos de driver

Instalar software de criptografia

Você deve primeiro instalar o GnuPG conjunto de criptografia para usar GPG na linha de comando. Você pode instalar o GnuPG usando Homebrew.

Baixe e importe a chave pública

Navegue até os lançamentos no repositório do GitHub dos drivers JVM do MongoDB. Cada versão contém instruções sobre como baixar e importar a chave pública para verificar assinaturas.

Baixe o arquivo assinado

No seu terminal, execute o comando curl para baixar o arquivo assinado correspondente a uma versão do driver. Por exemplo, executar o seguinte comando baixa o arquivo assinado para o v5.1.0 driver:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

Baixe a assinatura do arquivo

No seu terminal, execute o comando curl para baixar a assinatura de arquivo correspondente a uma versão do driver. Por exemplo, executar o comando a seguir baixa a assinatura do arquivo para o v5.1. Motorista do 0 :

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

Verificar a assinatura

Por fim, você pode verificar a assinatura usando o pacote de criptografia. O comando do terminal a seguir usa gpg para verificar a assinatura do artefato v5.1. Motorista do 0 :

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

Se você verificar a assinatura com êxito, verá uma mensagem semelhante à seguinte:

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8