Dependências em seu projeto

Se você desenvolve software, certamente já precisou usar um framework ou uma biblioteca de terceiros para resolver algum problema e deixar de reescrever um tanto de código.

Várias linguagens e plataformas possuem suporte a gerenciamento de pacotes e dependências. No PHP temos o Composer [1]. Para projetos JavaScript que usam NodeJS existe o NPM [2] para manter os módulos. Em projetos Ruby, usamos o rubygems [3], mas usamos o Bundler [4] para controle das Gems nos projetos de forma mais descritiva e de alto nível de abstração do rubygems. Já o Python possui o pypi [5] para cuidar dos pacotes ou seja-lá-que-nome-eles-dão para as dependências.

No nosso Javão do Sucesso não é diferente, temos nosso querido Maven [6], uma excelente ferramenta de build e que faz o controle das dependências dos nossos projetos do dia a dia.

Bom, o intuito aqui não é explicar como as ferramentas de gerenciamento de pacotes funcionam, e sim como publicar artefatos no saudosíssimo Maven Central Repository [7] que é mantido para componentes open source pela Sonatype [8] desde 2002.

Muitas empresas optam por manter seus artefatos internamente, pois o produto produzido não pode ser exposto devido a contratos e interesses comerciais.

Mas no caso de projetos Open Source, faz todo o sentido publica-los em um local público e de conhecimento da comunidade de desenvolvimento.

Aqui na Entelgy, possuímos um framework de testes automatizados chamado Zucchini [9], que foi construído pelos colaboradores. Tivemos a ideia de deixa-lo open source, e com isso, o passo a passo abaixo é fruto desse processo de distribuição do nosso framework de testes.

Passo a passo

No guia oficial do OSSRH é possível entender como realizar a publicação de forma bem completa. Tentarei simplificar e explicar em alguns passos.

Passo 1

Criar uma conta e abrir um chamado para a criação do namespace que será usado como seu domínio.
https://issues.sonatype.org/secure/CreateIssue.jspa?issuetype=21&pid=10134

Informar os campos obrigatórios e na descrição o desejo de criar o namespace que no final das contas é o pacote do seu projeto. ex.: br.com.devcave.
Ponto importante aqui é o Group Id : br.com.devcave.

A criação do ticket vincula o usuário ao namespace, sendo necessário informar as credenciais do usuário para fazer upload dos artefatos.

Passo 2

Informar as credenciais de acesso no settings.xml.

<settings>
    <servers>
        <server>
            <id>ossrh</id>
            <username>USUÁRIO DO JIRA</username>
            <password>SENHA</password>
        </server>
    </servers>
</settings>

Passo 3

Configurar o pom.xml com todas as informações necessárias. Neste link [10] esta tudo explicado.

Abaixo um exemplo do Projeto Zucchini-Liferay [11] que é uma extenção do Zucchini que mencionei acima.

<?xml version="1.0"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>br.com.entelgy</groupId>
    <artifactId>zucchini-liferay</artifactId>
    <version>1.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>
    <name>Zucchini for Liferay</name>
    <description>
        Zucchini extension for Liferay Projects
    </description>

    <url>https://github.com/entelgy-brasil</url>

    <developers>
        <developer>
            <id>andrelugomes</id>
            <name>André Luis Gomes</name>
            <email>andre.gomes@entelgy.com</email>
        </developer>

        <developer>
            <id>mateusconstanzo</id>
            <name>Mateus Constanzo</name>
            <email>mateus.constanzo@entelgy.com</email>
        </developer>
    </developers>

    <scm>
        <url>git@github.com:entelgy-brasil/zucchini-liferay.git</url>
        <connection>scm:git:git@github.com:entelgy-brasil/zucchini-liferay.git</connection>
        <developerConnection>scm:git:git@github.com:entelgy-brasil/zucchini-liferay.git</developerConnection>
        <tag>HEAD</tag>
    </scm>

    <licenses>
        <license>
            <name>GNU Lesser General Public License</name>
            <url>http://www.gnu.org/licenses/lgpl-2.1.txt</url>
        </license>
    </licenses>

    <issueManagement>
        <system>GitHub Issues</system>
        <url>https://github.com/entelgy-brasil/zucchini-liferay/issues</url>
    </issueManagement>

    <distributionManagement>
        <snapshotRepository>
            <id>sonatype-nexus-snapshots</id>
            <name>Sonatype Nexus snapshot repository</name>
            <url>https://oss.sonatype.org/content/repositories/snapshots</url>
        </snapshotRepository>
        <repository>
            <id>sonatype-nexus-staging</id>
            <name>Sonatype Nexus release repository</name>
            <url>https://oss.sonatype.org/service/local/staging/deploy/maven2/</url>
        </repository>
    </distributionManagement>

    <properties>
        <java.version>1.7</java.version>
        <zucchini.version>1.1.1</zucchini.version>
        <maven-gpg-plugin.version />
        <maven-compiler-plugin.version>3.5.1</maven-compiler-plugin.version>
        <maven-source-plugin.version>2.2.1</maven-source-plugin.version>
        <maven-javadoc-plugin.version>2.9.1</maven-javadoc-plugin.version>
        <maven-resources-plugin.version>2.5</maven-resources-plugin.version>
        <maven-release-plugin.version>2.5.2</maven-release-plugin.version>
        <nexus-staging-maven-plugin.version>1.6.7</nexus-staging-maven-plugin.version>
        <maven-gpg-plugin.version>1.5</maven-gpg-plugin.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>br.com.entelgy</groupId>
            <artifactId>zucchini</artifactId>
            <version>${zucchini.version}</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>${maven-compiler-plugin.version}</version>
                <configuration>
                    <encoding>UTF-8</encoding>
                    <source>${java.version}</source>
                    <target>${java.version}</target>
                </configuration>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-source-plugin</artifactId>
                <version>${maven-source-plugin.version}</version>
                <executions>
                    <execution>
                        <id>attach-sources</id>
                        <goals>
                            <goal>jar-no-fork</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-javadoc-plugin</artifactId>
                <version>${maven-javadoc-plugin.version}</version>
                <executions>
                    <execution>
                        <id>attach-javadocs</id>
                        <goals>
                            <goal>jar</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

            <plugin>
                <artifactId>maven-resources-plugin</artifactId>
                <version>${maven-resources-plugin.version}</version>
                <configuration>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-release-plugin</artifactId>
                <version>${maven-release-plugin.version}</version>
            </plugin>

            <plugin>
                <groupId>org.sonatype.plugins</groupId>
                <artifactId>nexus-staging-maven-plugin</artifactId>
                <version>${nexus-staging-maven-plugin.version}</version>
                <extensions>true</extensions>
                <configuration>
                    <serverId>ossrh</serverId>
                    <nexusUrl>https://oss.sonatype.org/</nexusUrl>
                    <autoReleaseAfterClose>true</autoReleaseAfterClose>
                </configuration>
            </plugin>

        </plugins>
    </build>

    <profiles>
        <profile>
            <id>sign-artifacts</id>
            <activation>
                <property>
                    <name>performRelease</name>
                    <value>true</value>
                </property>
            </activation>
            <build>
                <plugins>
                    <plugin>
                        <groupId>org.apache.maven.plugins</groupId>
                        <artifactId>maven-gpg-plugin</artifactId>
                        <version>${maven-gpg-plugin.version}</version>
                        <executions>
                            <execution>
                                <id>sign-artifacts</id>
                                <phase>verify</phase>
                                <goals>
                                    <goal>sign</goal>
                                </goals>
                                <configuration>
                                    <homedir>${gpg.homedir}</homedir>
                                    <passphrase>${gpg.passphrase}</passphrase>
                                </configuration>
                            </execution>
                        </executions>
                    </plugin>
                </plugins>
            </build>
        </profile>
    </profiles>
</project>

Passo 4

Criar uma chave GPG : http://central.sonatype.org/pages/working-with-pgp-signatures.html [12]

Isso é necessário para fazer o upload dos artefatos para o Sonatype Nexus, caso eles não estiverem assinados com essa chave, não será autorizado a publicação.

Requisitos

https://www.gnupg.org/download/ [13]

gpg --version
gpg2 --version

Criar a chave GPG

$ gpg --gen-key
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection? 1
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
= key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Key is valid for? (0) 0
Key does not expire at all
Is this correct? (y/N) y
Real name: André Luis Gomes
Email address: andre.gomes@entelgy.com
Comment: gpg for sign maven artifacts
You are using the `utf-8' character set.
You selected this USER-ID:
"André Luis Gomes (gpg for sign maven artifacts) <andre.gomes@entelgy.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.

Sem muito segredo, basta seguir o wizard e gerar a chave e a senha.

Listar a chave Gerada

$ gpg --list-keys
pub 1024R/ID-DA-CHAVE 2017-03-30
uid Andre Luis Gomes (gpg for sign maven artifacts) <andre.gomes@entelgy.com>
sub 1024R/EDD4DD69 2017-03-30

Enviar a chave para o servidor de verificação

$ gpg2 --keyserver hkp://pool.sks-keyservers.net --send-keys ID-DA-CHAVE
gpg: sending key ID-DA-CHAVE to hkp://pool.sks-keyservers.net

Confirmar se a chave esta disponível

$ gpg2 --keyserver hkp://pool.sks-keyservers.net --recv-keys ID-DA-CHAVE
gpg: key ID-DA-CHAVE: "Andre Luis Gomes (gpg for sign maven artefacts) <andre.gomes@entelgy.com>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1

Passo 5

Atualizar as informações do GPG no settings.xml

<settings>
    <servers>
        <server>
            <id>ossrh</id>
             <username>USUÁRIO DO JIRA</username>
             <password>SENHA</password>
        </server>
    </servers>

    <profiles>
        <profile>
        <id>ossrh</id>
        <activation>
            <activeByDefault>true</activeByDefault>
        </activation>
        <properties>
            <gpg.homedir>/home/andre/.gnupg</gpg.homedir>
            <gpg.keyname>ID-DA-CHAVE</gpg.keyname>
            <gpg.executable>gpg</gpg.executable>
            <gpg.passphrase>SENHA-DA-CHAVE</gpg.passphrase>
        </properties>
        </profile>
    </profiles>
</settings>

As propriedades

gpg.homedir : Diretório onde estão suas chaves geradas.
gpg.keyname : Identificação da chave que foi publicada nos server.
gpg.executable : Executável que será usado para assinar os artefatos.
gpg.passphrase : Senha da chave que foi gerada.

Passo 6

Build do projeto com os artefatos assinados com a chave GPG.
Como podemos notar, nosso pom.xml tem um profile chamado sign-artifacts. Este, quando executado, irá assinar os artefatos com a chave GPG.

$ mvn clean install -Psign-artifacts

Pode ser observado que foi gerado diversos arquivos com a extensão .asc.

zucchini-liferay-1.0.1-SNAPSHOT.jar
zucchini-liferay-1.0.1-SNAPSHOT.jar.asc
zucchini-liferay-1.0.1-SNAPSHOT.pom
zucchini-liferay-1.0.1-SNAPSHOT.pom.asc
zucchini-liferay-1.0.1-SNAPSHOT-javadoc.jar
zucchini-liferay-1.0.1-SNAPSHOT-javadoc.jar.asc
zucchini-liferay-1.0.1-SNAPSHOT-sources.jar
zucchini-liferay-1.0.1-SNAPSHOT-sources.jar.asc

Se quisermos dar uma conferida em um dos arquivos, seu conteúdo deve ser algo do tipo:

$ cat zucchini-liferay-1.0.1-SNAPSHOT.jar.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iJwEA......................................................
...........................................................
...........................................................
XkXA=
-----END PGP SIGNATURE-----

Passo 7

Release e Deploy no Sonatype Nexus.

$ mvn release:prepare

Informar os dados de release, como Versão, Tag e próximo incremento do SNAPSHOT.

$ mvn release:perform

O perform fará o deploy dos artefatos no Nexus.

Passo 8

Confirmar o upload dos Artefatos

https://oss.sonatype.org/content/groups/public/ [14]
https://oss.sonatype.org/#nexus-search [15]

Pronto, agora sua lib ou o seu framework esta disponível para todo mundo usar 😉

Referências

[1] – https://getcomposer.org
[2] – https://www.npmjs.com
[3] – https://rubygems.org
[4] – http://bundler.io
[5] – https://pypi.python.org/pypi
[6] – https://maven.apache.org
[7] – https://search.maven.org
[8] – https://www.sonatype.com
[9] – https://entelgy-brasil.github.io/zucchini/
[10] – http://central.sonatype.org/pages/apache-maven.html
[11] – https://github.com/entelgy-brasil/zucchini-liferay
[12] – http://central.sonatype.org/pages/working-with-pgp-signatures.html
[13] – https://www.gnupg.org/download/
[14] – https://oss.sonatype.org/content/groups/public/
[15] – https://oss.sonatype.org/#nexus-search

Comentários