Discussion :

[gifffftane]

Je suis assez mécontent des explications données dans Maven Jar Plugin - Usage, particulièrement How to sign a jar file.

En effet, j'ai découvert par ailleurs que Maven recopiait le pom en tant que ressource dans le jar généré... Et comme dans cette documentation il est suggéré de placer signature et mot de passe dans le pom, tout ce saint frusquin se retrouve dans la distribution de tous les jars signés !

Certainement y a-t-il quelque part des avertissements divers et variés pour dire de ne pas faire ces bêtises, mais je ne les ai pas vus, et je n'ai découvert que recemment que les pom étaient recopiés dans les jars, pardonnez mon ignorance.

Moi cela me parait être une bourde de sécurité, donc je le dis : ne faites surtout pas ce qui est préconisé sur cette page !

[romaintaz]

En effet, les fichiers pom.xml sont conservés dans le packaging final.

Concernant ton problème de mot de passe stockés, effectivement ils n'en présentent pas l'information, et ça peut comporter des risques.
Il est sûr que de mettre des mots de passes dans un fichier XML en clair n'est pas très sécurisé !
Il est donc recommandé de donner les mots de passe lors de l'exécution du plugin, comme indiqué sur la page que tu pointes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mvn jar:sign -Dkeystore=/path/to/your/keystore -Dstorepass=yourstorepassword -Dalias=youralias

Ton post servira peut être à d'autres pour éviter de tomber dans ce "piège"...

[gifffftane]

Ouais enfin niveaux explications ils se fichent un peu du monde.

On voit clairement dans leurs prétendues indications :

<configuration>
<keystore>/path/to/your/keystore</keystore>
<alias>youralias</alias>
<storepass>yourstorepassword</storepass>
<signedjar>${project.build.directory}/signed/${project.build.finalName}.jar</signedjar>
<verify>true</verify>
</configuration>

Et entre mettre un mot de passe dans un fichier sur sa propre machine, chose qui peut parfaitement se concevoir, surtout quand en plus elle est présentée en exemple par apache.org soi même, et le publier dans tous ses fichiers distribués, la différence est de taille !

[evenisse]

Ouais enfin niveaux explications ils se fichent un peu du monde.

On voit clairement dans leurs prétendues indications :

Rien ne t'empêches de contribuer à la doc si tu ne la trouves pas assez claire, c'est open sources donc ouvert à toute contribution.

Et entre mettre un mot de passe dans un fichier sur sa propre machine, chose qui peut parfaitement se concevoir, surtout quand en plus elle est présentée en exemple par apache.org soi même, et le publier dans tous ses fichiers distribués, la différence est de taille !

L'exemple présenté peux être modifié avec des paramètres défini dans un profile stocké dans ton settings.xml, donc caché

[Jibee]

En parlant de mot de passe en clair, est-ce que qqn connait une façon sécurisée de configurer le proxy avec Maven ?? Pour le moment je ne connais que la configuration dans le fichier settings.xml avec le mot de passe dedans... c'est pas terrible quand même

[gifffftane]

Rien ne t'empêches de contribuer à la doc si tu ne la trouves pas assez claire, c'est open sources donc ouvert à toute contribution.

Effectivement je dois m'excuser de ce que je ne contribue pas

L'exemple présenté peux être modifié avec des paramètres défini dans un profile stocké dans ton settings.xml, donc caché

Je n'avais pas du tout pensé que l'exemple présenté pouvait être modifié. Bien sûr il y a une solution ! Décidemment suis-je bête !

Il y a aussi une langue de bois chez... enfin passons. Chez moi, bien sûr. Rien n'est parfait en ce bas monde et peut être est-ce mieux comme ça ?

[evenisse]

En parlant de mot de passe en clair, est-ce que qqn connait une façon sécurisée de configurer le proxy avec Maven ?? Pour le moment je ne connais que la configuration dans le fichier settings.xml avec le mot de passe dedans... c'est pas terrible quand même

Il n'est pas possible de crypter le mot de passe dans le settings.xml.
Une solution pourrait être d'installer un proxy sans authentification sur ta machine qui utiliserait ton proxy avec authentification. Pas très joli, mais c'est une solution