Validar las firmas de los artefactos del driver

Instalar el software de cifrado

Primero debes instalar el GnuPGPaquete de cifrado para usar GPG en la línea de comandos. Puede instalar GnuPG con Homebrew.

Descargar e importar la clave pública

Vaya a la página de Versiones en el repositorio de GitHub de controladores JVM de MongoDB. Cada versión contiene instrucciones sobre cómo descargar e importar la clave pública para verificar firmas.

Descargar el archivo firmado

En tu terminal, ejecuta el curl Comando para descargar el archivo firmado correspondiente a una versión del controlador. Por ejemplo, al ejecutar el siguiente comando, se descarga el archivo firmado del controlador v5.1.0:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

Descargar la firma del archivo

En su terminal, ejecute el comando curl para descargar la firma del archivo correspondiente a una versión del controlador. Por ejemplo, al ejecutar el siguiente comando se descarga la firma del archivo del controlador v5.1.0:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

Verificar la firma

Finalmente, puede verificar la firma mediante el paquete de cifrado. El siguiente comando de terminal usa gpg para verificar la firma del artefacto del controlador v5.1.0:

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

Si verifica correctamente la firma, verá un mensaje similar al siguiente:

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8