Skip to main content

验证候选版本

详细检查列表请参考官方的check list

1. 下载要发布的候选版本到本地环境

需要依赖gpg工具,如果没有,建议安装gpg2

注意

如果网络较差,下载可能会比较耗时。正常完成下载大约20分钟左右,请耐心等待。

#如果本地有svn,可以clone到本地 
svn co https://dist.apache.org/repos/dist/dev/linkis/${release_version}-${rc_version}/
#或则 直接下载物料文件
wget https://dist.apache.org/repos/dist/dev/linkis/${release_version}-${rc_version}/xxx.xxx

2. 验证上传的版本是否合规

开始验证环节,验证包含但不局限于以下内容和形式

2.1 查看发布包是否完整

上传到dist的包必须包含源码包,二进制包可选

  1. 是否包含源码包
  2. 是否包含源码包的签名
  3. 是否包含源码包的sha512
  4. 如果上传了二进制包,则同样检查(2)-(4)所列的内容

2.2 检查gpg签名

首先导入发布人公钥。从svn仓库导入KEYS到本地环境。(发布版本的人不需要再导入,帮助做验证的人需要导入,用户名填发版人的即可)

2.2.1 导入公钥

$ curl  https://downloads.apache.org/linkis/KEYS > KEYS # 下载KEYS
$ gpg --import KEYS # 导入KEYS到本地

2.2.2 信任公钥

信任此次版本所使用的KEY

$ gpg --edit-key xxxxxxxxxx #此次版本所使用的KEY用户
gpg (GnuPG) 2.2.21; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.
gpg> trust #信任
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

1 = I don't know or won't say
2 = I do NOT trust
3 = I trust marginally
4 = I trust fully
5 = I trust ultimately
m = back to the main menu

Your decision? 5 #选择5
Do you really want to set this key to ultimate trust? (y/N) y #选择y

gpg>

2.2.3 检查签名

$ for i in *.tar.gz; do echo $i; gpg --verify $i.asc $i ; done

#或者
$ gpg --verify apache-linkis-${release_version}-src.tar.gz.asc apache-linkis-${release_version}-src.tar.gz
# 如果上传二进制包,则同样需要检查二进制包的签名是否正确
$ gpg --verify apache-linkis-${release_version}-bin.tar.gz.asc apache-linkis-${release_version}-bin.tar.gz

检查结果

出现类似以下内容则说明签名正确,关键字:Good signature

apache-linkis-xxx-src.tar.gz
gpg: Signature made XXXX
gpg: using RSA key XXXXX
gpg: Good signature from "xxx @apache.org>"

2.3 检查sha512哈希

本地计算sha512哈希后,验证是否与dist上的一致,如果上传二进制包,则同样需要检查二进制包的sha512哈希

Mac OS/Linux

$ for i in *.tar.gz; do echo $i; sha512sum --check  $i.sha512; done

#或者
$ sha512sum --check apache-linkis-${release_version}-src.tar.gz.sha512
# 如果上传二进制包,则同样需要检查二进制包的签名是否正确
$ sha512sum --check apache-linkis-${release_version}-bin.tar.gz.sha512

Windows

$ certUtil -hashfile apache-linkis-${release_version}-xxx.tar.gz SHA512
#并将输出内容与 apache-linkis-${release_version}-xxx.tar.gz.sha512文件内容作对比

2.4. 检查源码包的文件内容

解压缩apache-linkis-${release_version}-src.tar.gz

$ tar -xvf apache-linkis-${release_version}-src.tar.gz

$ cd apache-linkis-${release_version}-src

2.4.1 ASF许可证RAT检查

Mac OS/Linux

#正常5分钟内可以执行完
$ ./mvnw -N install
$ ./mvnw apache-rat:check

#无异常后 检查所有的rat文件
$ find ./ -name rat.txt -print0 | xargs -0 -I file cat file > merged-rat.txt

Window

#正常5分钟内可以执行完
$ mvnw.cmd -N install
$ mvnw.cmd apache-rat:check

rat check的白名单文件配置在外层pom.xml中的apache-rat-plugin插件配置中。 检查merged-rat.txt中所有license信息,注意Binaries 和Archives文件是否为0。

Notes: 0
Binaries: 0
Archives: 0
0 Unknown Licenses
如果不为0,需要确认源码中是否有对该二进制或则压缩文件的license进行说明,可以参考源码中引用的`linkis-engineconn-plugins/python/src/main/py4j/py4j-0.10.7-src.zip`

2.4.2 项目源码编译验证

注意:

自2022.12.12起,受 Maven 中央仓库网络限制,阿里云云效 Maven 中央代理仓库可能会出现部分新增依赖查找不到的情况(https://developer.aliyun.com/mvn/search) 如果出现阿里云镜像部分依赖无法下载情况,可使用默认仓库

Mac OS/Linux

$ ./mvnw -N install  
#如果编译所在的机器性能比较差,则此过程会比较耗时,一般耗时30min左右
$ ./mvnw clean install -Dmaven.javadoc.skip=true -Dmaven.test.skip=true

Window

$ mvnw.cmd -N install  
#如果编译所在的机器性能比较差,则此过程会比较耗时,一般耗时30min左右
$ mvnw.cmd clean install -Dmaven.javadoc.skip=true -Dmaven.test.skip=true

2.4.3 web源码编译验证

需要依赖node.js环境,建议使用node v16版本

安装依赖:

npm install

接下来项目进行打包:

npm run build
注意:

1.Windows下npm install步骤报错: Error: Can't find Python executable "python", you can set the PYTHON env variable 安装windows-build-tools (管理员权限):

$ npm install --global --production windows-build-tools

安装node-gyp:

$ npm install --global node-gyp

2.如果编译失败 请按如下步骤清理后重新执行

#进入项目工作目录,删除 node_modules
$ rm -rf node_modules
#删除 package-lock.json
$ rm -rf package-lock.json
#清除 npm 缓存
$ npm cache clear --force
#重新下载依赖
$ npm install

2.4.4 相关合规项检查

进行如下检查:

  • 检查源码包是否包含由于包含不必要文件,致使tar包过于庞大
  • 存在LICENSENOTICE文件
  • NOTICE文件中的年份正确
  • 只存在文本文件,不存在二进制文件
  • 所有文件的开头都有ASF许可证
  • 能够正确编译

2.5 检查二进制包

如果上传了项目的二进制包/linkis-web的编译包

解压缩apache-linkis-${release_version}-bin.tar.gz


$ mkdir apache-linkis-${release_version}-bin
$ tar -xvf apache-linkis-${release_version}-bin.tar.gz -C apache-linkis-${release_version}-bin
$ cd apache-linkis-${release_version}-bin

进行如下检查:

  • 存在LICENSENOTICE文件
  • NOTICE文件中的年份正确
  • 所有文本文件开头都有ASF许可证
  • 检查第三方依赖许可证:
  • 第三方依赖的许可证兼容
  • 所有第三方依赖的许可证都在LICENSE文件中声名
  • 如果依赖的是Apache许可证并且存在NOTICE文件,那么这些NOTICE文件也需要加入到版本的NOTICE文件中
  • .....

详细的检查项,可以参考此文章:ASF第三方许可证策

3. 邮件回复

如果发起了发布投票,验证后,可以参照此回复示例进行邮件回复

回复的邮件一定要带上自己检查了那些项信息,仅仅回复`+1 approve`,是无效的。

PMC成员在dev@linkis.apache.org linkis的社区投票时,请带上 binding后缀,表示对linkis社区中的投票具有约束性投票,方便统计投票结果。

非PMC成员

+1 (non-binding)
I checked:
1. All download links are valid
2. Checksum and signature are OK
3. LICENSE and NOTICE are exist
4. Build successfully on macOS(Big Sur)
5. ....

PMC成员


+1 (binding)
I checked:
1. All download links are valid
2. Checksum and signature are OK
3. LICENSE and NOTICE are exist
4. Build successfully on macOS(Big Sur)
5. ....

4. 注意事项

如果你有安装maven工具,你可以使用自己的mvn命令替换 ./mvnw或则mvnw.cmd

mvnw是Maven Wrapper的缩写。它可以支持运行 Maven 项目,而无需安装 Maven 并配置环境变量。如果找不到它,它会根据配置文件,下载对应的 Maven 版本