Validar assinaturas de artefato de driver

Instalar software de criptografia

You must first install the GnuPG encryption suite to use GPG on the command line. You can install GnuPG by using Homebrew.

Baixe e importe a chave pública

Navegue até a página Lançamentos no repositório do GitHub dos drivers JVM do MongoDB . Cada versão contém instruções sobre como baixar e importar a chave pública para verificar assinaturas.

Baixe o arquivo assinado

No seu terminal, execute o comando curl para baixar o arquivo assinado correspondente a uma versão do driver. Por exemplo, executar o comando a seguir baixa o arquivo assinado para o v5.1.0 driver:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

Baixe a assinatura do arquivo

No seu terminal, execute o comando curl para baixar a assinatura de arquivo correspondente a uma versão do driver. Por exemplo, executar o seguinte comando baixa a assinatura do arquivo para o v5.1.0 driver:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

Verificar a assinatura

Por fim, você pode verificar a assinatura usando o pacote de criptografia . O comando de terminal a seguir usa gpg para verificar a assinatura do artefato v5.1.0 driver:

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

Se você verificar a assinatura com êxito, verá uma mensagem semelhante à seguinte:

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8