ドライバー アーティファクトの署名の検証

暗号化ソフトウェアのインストール

コマンドラインで GPG を使用するには、まず GnuPG暗号化スイートをインストールする必要があります。Homebrew を使用して GnuPG をインストールできます。

公開鍵のダウンロードとインポート

MongoDB JVMドライバーGithubリポジトリの [ リリース ] ページ に移動します。各バージョン リリースには、署名を検証するための公開キーをダウンロードしてインポートする方法に関する手順が記載されています。

署名付きファイルをダウンロード

In your terminal, run the curl command to download the signed file corresponding to a version of the driver. たとえば、次のコマンドを実行すると、v 5.1.0の署名されたファイルがダウンロードされます ドライバー:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

ファイル署名のダウンロード

ターミナルでcurlコマンドを実行して、ドライバーのバージョンに対応するファイル署名をダウンロードします。 たとえば、次のコマンドを実行すると、v 5.1.0のファイル署名がダウンロードされます ドライバー:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

署名を検証します

最後に、暗号化パッケージを使用して署名を検証します。 次のターミナルコマンドはgpgを使用して v 5.1.0のアーティファクト署名を検証します。 ドライバー:

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

署名が正常に検証されると、次のようなメッセージが表示されます。

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8