Apache Dubbo – Committer 指南

Contribution-Guidelines: Apache 提交者注册流程

Mon, 01 Jan 0001 00:00:00 +0000

一、Apache 提交者的产生

项目孵化初始化提交者

项目孵化阶段，在孵化项目提案中，会有初始化提交者列表这一选项。确认你是初始化提交者的一员。项目在 apache 孵化器社区投票通过后，提交者可以开始准备注册账户了。可以参看孵化器 wiki

活跃的贡献者被选举为提交者

在后期的开发过程中，活跃的贡献者可以被选举为提交者。见如何成为 committer

二、个人开发者提交 ICLA

1、选择 apache id

在 apache 提交者列表页查看已经注册过的 apache id，

2、个人提交者授权协议（ICLA）：

下载 ICLA 模板，查找可用的 id。将 icla.pdf 个人信息填写正确后打印,签名、扫描、并当做附件发送邮件给秘书 secretary@apache.org，秘书会帮忙创建 apache 用户 id。同时会创建一个 your_id@apache.org 的邮箱，可以在 apache 提交者列表页查看查找用户是否已经创建。

3、导师帮助提交用户id创建请求

导师将帮助提交 apache 账户创建请求给 root 邮件组，会有人帮助建立 id。一般需要2天时间账户会建立，请等待并在 apache 提交者列表页查看查找用户是否已经创建。

三、加入apache开发者组

登陆 Apache 账户工具，在登陆页面点击"忘记密码"设置始化密码，会有一封密码重置邮件发送到 forward 邮箱(在孵化项目提案中提交的开发者邮件)
关于 apache 邮箱：apache.org 邮箱并没有自己的邮件内容存储服务器。它需要借用其他邮件提供商的邮件内容存储、分发功能。在很多投票环节是建议使用 apache 邮箱的。这里就有一个问题，怎么在其它邮箱里面配置 apache.org 邮箱转发功能：
- 收件箱：收取发送到 apache.org 的邮件。这个在第一步配置好 Apache 账户工具的 forward 邮箱就可以用 forward 邮箱收取邮件了
- 发件箱：将发出的邮件显示发件邮箱为 apache.org 邮箱。请参考：设置 apache 邮箱指南和 gmail 邮箱设置方式。其他邮箱服务的设置方式不方便找到，gmail 的最方便，建议换成 gmail 邮箱(不是广告)。
修改编辑页面的 homepage url，apache 提交者列表页中你的账户能加主页链接。
修改编辑页面的 github 账户(username)，提交确认后两个小时内会有邮件邀请你加入 github.com/apache-committers 组。这期间可以阅读 ASF 工作方式以对 ASF 开发做一些基本了解。

四、提交者获得对项目的写权限

GitBox 账户链接工具的操作

Apache账户授权

按照提示授权对 Apache 账户的 OAuth 协议登入

Github账户授权

按照提示授权对 github 账户的 OAuth 协议登入

在 github.com 设置 github 账户两因素授权（2FA）

按照授权 GitHub 2FA wiki 操作如下：

在手机安装 “google 身份验证器” app
按照授权 GitHub 2FA wiki 一步一步操作。

在两因素授权验证界面，不建议选择用手机扫描二维码，因为有些手机会扫描不出来。请打开手机 “google 身份验证器” app，点“+”选择“输入提供的秘钥”：在“账户名” input 框写入 github 账户。在“您的秘钥” input 框写入:打开的网页中 “enter this text code” 链接里面的文本。在 app 中点击"添加" 后，将为此账户生成6位数字动态。将此6位数字写入网页中的文本框，然后点 “Enable”。这样 2FA 就设置成功了。
退出并重新登陆 github，输入用户名、密码后会多一步动态密码的填写，该动态密码就是 google 身份验证器上面的动态密码
大概需要半个小时,会有邮件通知你已经加入了 xx project-committers 开发者组。你也可以进入 apache teams 页面查看。
2FA 提交后，你已经 clone 的项目会有权限校验问题，解决方法为下面二选一：
- 申请 Access Token：在 github 上生成 access token 后，指令行需要密码的地方就粘贴token。参考官网帮助链接一和帮助链接二
- 改用 ssh：在命令行执行 ssh-keygen 命令，然后把pub文件中的内容粘贴到 github 上
注意：一定要保证 github 的 2FA 为 “enable” 状态。当你将 2FA 设置为 “off” 时候，将会被对应的 apache committer 写权限组除名，直到你再次设置成功为止。

五、其他

The Apache Way

详情请参考 wiki

社区重于代码，如果某问题或者方案没有在社区(邮件列表)讨论过，就当没有发生过

添加你的名字

请访问孵化器主页将你的名字添加到上面. 具体可以参考这个文档.

请访问 Dubbo官方网站将你的名字添加到上面.

小福利

Jetbrains 给 apache 提交者一个小福利，就是可以免费使用 idea 的全产品系列。具体注册地址为：https://www.jetbrains.com/shop/eform/apache?product=ALL

Contribution-Guidelines: 如何准备 Apache Release

Mon, 01 Jan 0001 00:00:00 +0000

理解 Apache 发布的内容和流程

总的来说，Source Release 是 Apache 关注的重点，也是发布的必须内容；而 Binary Release 是可选项，Dubbo 可以选择是否发布二进制包到 Apache 仓库或者发布到 Maven 中央仓库。

请参考以下链接，找到更多关于 ASF 的发布指南:

本地构建环境准备

主要包括签名工具、Maven 仓库认证相关准备

安装GPG

详细文档请参见这里, Mac OS 下配置如下

$ brew install gpg
$ gpg --version #检查版本，应该为2.x

用gpg生成key

根据提示，生成 key

$ gpg --full-gen-key
gpg (GnuPG) 2.0.12; Copyright (C) 2009 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection? 1
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: Robert Burrell Donkin
Email address: rdonkin@apache.org
Comment: CODE SIGNING KEY
You selected this USER-ID:
"Robert Burrell Donkin (CODE SIGNING KEY) <rdonkin@apache.org>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key. # 填入密码，以后打包过程中会经常用到

查看 key id

$ gpg --list-keys
pub rsa4096/28681CB1 2018-04-26 # 28681CB1就是key id
uid [ultimate] liujun (apache-dubbo) <liujun@apache.org>
sub rsa4096/D3D6984B 2018-04-26
# 通过key id发送public key到keyserver
$ gpg --keyserver pgpkeys.mit.edu --send-key 28681CB1
# 其中，pgpkeys.mit.edu为随意挑选的keyserver，keyserver列表为：https://sks-keyservers.net/status/，为相互之间是自动同步的，选任意一个都可以。

如果有多个 public key，设置默认 key。修改~/.gnupg/gpg.conf

# If you have more than 1 secret key in your keyring, you may want to
# uncomment the following option and set your preferred keyid.
default-key 28681CB1

如果有多个 public key, 也可以删除无用的 key：

### 先删除私钥，再删除公钥
$ gpg --yes --delete-secret-keys shenglicao2@gmail.com ###老的私钥，指明邮箱即可
$ gpg --delete-keys 1808C6444C781C0AEA0AAD4C4D6A8007D20DB8A4

PS: 最新版本经过实测，本地没有gpg.conf这个文件，因此如果在执行过程中遇到签名失败，可以参考这个文章：https://blog.csdn.net/wenbo20182/article/details/72850810 或 https://d.sb/2016/11/gpg-inappropriate-ioctl-for-device-errors

由于公钥服务器没有检查机制，任何人都可以用你的名义上传公钥，所以没有办法保证服务器上的公钥的可靠性。通常，你可以在网站上公布一个公钥指纹，让其他人核对下载到的公钥是否为真。

# fingerprint参数生成公钥指纹：
$ gpg --fingerprint liujun
pub rsa4096 2019-10-17 [SC]
1376 A2FF 67E4 C477 5739 09BD 7DB6 8550 D366 E4C0
uid [ultimate] liujun (CODE SIGNING KEY) <liujun@apache.org>
sub rsa4096 2019-10-17 [E]

登录 https://id.apache.org, 将上面的 fingerprint （即 1376 A2FF 67E4 C477 5739 09BD 7DB6 8550 D366 E4C0）粘贴到自己的用户信息中 OpenPGP Public Key Primary Fingerprint

设置 Apache 中央仓库

Dubbo 项目的父 pom 为 Apache pom(2.7.0 以上版本需要，2.6.x 发布版本不需要此操作)

<parent>
<groupId>org.apache</groupId>
<artifactId>apache</artifactId>
<version>19</version>
</parent>

添加以下内容到 .m2/settings.xml 所有密码请使用 maven-encryption-plugin加密后再填入

<settings>
...
<servers>
<!-- To publish a snapshot of some part of Maven -->
<server>
<id>apache.snapshots.https</id>
<username> <!-- YOUR APACHE LDAP USERNAME --> </username>
<password> <!-- YOUR APACHE LDAP PASSWORD (encrypted) --> </password>
</server>
<!-- To stage a release of some part of Maven -->
<server>
<id>apache.releases.https</id>
<username> <!-- YOUR APACHE LDAP USERNAME --> </username>
<password> <!-- YOUR APACHE LDAP PASSWORD (encrypted) --> </password>
</server>
...
<!-- gpg passphrase used when generate key -->
<server>
<id>gpg.passphrase</id>
<passphrase><!-- yourKeyPassword --></passphrase>
</server>
</servers>
</settings>

打包&上传

准备分支

从主干分支拉取新分支作为发布分支，如现在要发布${release_version}版本，则从2.6.x拉出新分支${release_version}-release，此后${release_version} Release Candidates涉及的修改及打标签等都在${release_version}-release分支进行，最终发布完成后合入主干分支。

编译打包

首先，在${release_version}-release分支验证maven组件打包、source源码打包、签名等是否都正常工作。2.6.x记得要使用1.6进行编译打包

$ mvn clean install -Prelease
$ mvn deploy

上述命令将snapshot包推送到maven中央仓库

用maven-release-plugin发布 (`废弃`，参考后一步)

~~先用dryRun验证是否ok~~

$ mvn release:prepare -Prelease -Darguments="-DskipTests" -DautoVersionSubmodules=true -Dusername=YOUR GITHUB ID-DdryRun=true

~~验证通过后，执行release:prepare~~

$ mvn release:clean
$ mvn release:prepare -Prelease -Darguments="-DskipTests" -DautoVersionSubmodules=true -Dusername=YOUR GITHUB ID -DpushChanges=false

执行release插件时，如果指定了-DpushChanges=true, 插件会自动提交到远端的GitHub仓库中，此时就需要输入GitHub的密码，注意不是输入web页面的登录密码，而是一个Personal access tokens，获取方式详见这里

这里有一点要注意的是tag，在执行过程中，需要选择发布的artifactId, 下一个版本artifactId以及发布版本的tag, tag默认的是dubbo-parent-xxxx，需要改成dubbo-xxxx

执行完上述步骤后，你会发现：

source-release.zip 和 bin-release.zip包已经生成在dubbo-distribution目录下，请解压并检查文件是否完整
本地已经打出相应的tag，同时新增一个commit，名叫[maven-release-plugin] prepare release dubbo-x.x.x
分支版本自动升级为${release_version+1}-SNAPSHOT，同时新增一个commit，名叫[[maven-release-plugin] prepare for next development iteration

如果指定了-DpushChanges=true, 则本地提交会自动推送到远端的GitHub仓库。根据经验，建议不要指定为true，请设置为false，待本地检查通过之后再手动提交

~~执行release:perform，做staging发布~~

$ mvn -Prelease release:perform -Darguments="-DskipTests" -DautoVersionSubmodules=true -Dusername=YOUR GITHUB ID

此时插件会自动下载远端的tag对应的源码，编译后，将所有Artifacts发布到配置的远程maven仓库，处于staging状态。

使用mvn deploy进行deploy

要求：maven 3.5+

修改pom文件中的版本号，从2.7.x-SNAPSHOT改为2.7.x，目前有3个地方需要修改。建议全文搜索。

$ mvn clean install -Prelease
$ mvn deploy -Prelease -DskipTests

所有被deploy到远程maven仓库的Artifacts都会处于staging状态

注意点

在deploy执行过程中，有可能因为网络等原因被中断，如果是这样，可以重新开始执行。
deploy执行到maven仓库的时候，请确认下包的总量是否正确。多次出现了包丢失的情况，特别是dubbo-parent包。

准备Apache发布

准备svn本机环境（Apache使用svn托管项目的发布内容）

将dubbo checkout到本地目录

$ svn checkout https://dist.apache.org/repos/dist/dev/dubbo
# 假定本地目录为 ~/apache/dubbo

当前发布版本为${release_version}，新建目录

$ cd ~/apache/dubbo # dubbo svn根目录
$ mkdir ${release_version}

添加public key到KEYS文件并提交到SVN仓库（第一次做发布的人需要做这个操作，具体操作参考KEYS文件里的说明）。KEYS主要是让参与投票的人在本地导入，用来校验sign的正确性
```
$ (gpg --list-sigs <your name> && gpg --armor --export <your name>) >> KEYS
```
拷贝distribution/target下的source相关的包到svn本地仓库dubbo/${release_version}

生成sha512签名

针对source-release.zip

$ shasum -a 512 apache-dubbo-${release_version}-source-release.zip >> apache-dubbo-${release_version}-source-release.zip.sha512

针对bin-release.zip，需要增加-b参数，表明是一个二进制文件

$ shasum -b -a 512 apache-dubbo-${release_version}-bin-release.zip >> apache-dubbo-${release_version}-bin-release.zip.sha512

如果有binary release要同时发布

在distribution/target目录下，拷贝bin-release.zip以及bin-release.zip.asc到svn本地仓库dubbo/${release_version}，参考第6步，生成sha512签名。

提交到Apache svn

$ svn status
$ svn commit -m 'prepare for ${release_version} RC1'

关闭Maven的staging仓库

此步骤为发布2.7.0及以上版本必须要的步骤。在此之前请先确保所有的artifact都是ok的。登录http://repository.apache.org，点击左侧的Staging repositories，然后搜索Dubbo关键字，会出现一系列的仓库，选择你最近上传的仓库，然后点击上方的Close按钮，这个过程会进行一系列检查，检查通过以后，在下方的Summary标签页上出现一个连接，请保存好这个链接，需要放在接下来的投票邮件当中。链接应该是类似这样的: https://repository.apache.org/content/repositories/orgapachedubbo-1015

请注意点击Close可能会出现失败，通常是网络原因，只要重试几次就可以了。可以点击Summary旁边的Activity标签来确认。

验证Release Candidates

详细的检查列表请参考官方的check list

首先，从一下地址下载要发布的Release Candidate到本地环境：

https://dist.apache.org/repos/dist/dev/dubbo/${release_version}/

然后，开始验证环节，验证包含但不限于以下内容和形式

检查签名和hash等信息

检查sha512哈希

$ shasum -c apache-dubbo-${release_version}-source-release.zip.sha512
$ shasum -c apache-dubbo-${release_version}-bin-release.zip.sha512

检查gpg签名

如果是第一次检查，需要首先导入公钥。

 $ curl https://dist.apache.org/repos/dist/dev/dubbo/KEYS >> KEYS # download public keys to local directory
$ gpg --import KEYS # import keys
$ gpg —-edit-key liujun
> trust # type trust command

然后使用如下命令检查签名

gpg --verify apache-dubbo-2.6.3-source-release.zip.asc apache-dubbo-2.6.3-source-release.zip
gpg --verify apache-dubbo-2.6.3-bin-release.zip.asc apache-dubbo-2.6.3-bin-release.zip

检查源码包的文件内容

解压缩apache-dubbo-${release_version}-source-release.zip，进行如下检查:

DISCLAIMER exists
LICENSE and NOTICE exists and contents are good
All files and no binary files exist
All files has standard ASF License header
Can compile from source

All unit tests can pass

mvn clean test # This will run all unit tests
# you can also open rat and style plugin to check if every file meets requirements.
mvn clean test -Drat.skip=false -Dcheckstyle.skip=false

Release candidates match with corresponding tags, you can find tag link and hash in vote email.
- check the version number in pom.xml are the same
- check there are no extra files or directories in the source package, for example, no empty directories or useless log files，这里需要注意换行符是否一致
  diff -r a rc_dir tag_dir
- check the top n tag commits, dive into the related files and check if the source package has the same changes

检查三方依赖的合规性

按照Apache基金会合规性规定，源码或者是二进制分发包中均不能包含Category X的依赖，其中就常见的是包含了GPL/LGPL的依赖，即使是传递依赖也不行。因此在发版的时候需要通过以下的命令进行检查：

mvn license:add-third-party -Dlicense.useMissingFile
find . -name THIRD-PARTY.txt | xargs grep -E 'GPL|General Public License' | grep -v Apache | grep -v MIT | grep -v CDDL

如果一个依赖提供了双协议或多重协议，可以选择与Apache最兼容的一个协议。

你可以参考此文章：ASF第三方许可证策

检查二进制包的文件内容

解压缩apache-dubbo-${release_version}-bin-release.zip，进行如下检查:

Check signatures are good
LICENSE and NOTICE exists and contents are good

注意，如果二进制包里面引入了第三方依赖，则需要更新LICENSE，加入第三方依赖的LICENSE，如果第三方依赖的LICENSE是Apache 2.0，并且对应的项目中包含了NOTICE，还需要更新NOTICE文件

进入投票

dubbo毕业之后，投票分只需要一次：

Dubbo社区投票，发起投票邮件到dev@dubbo.apache.org。在社区开发者Review，经过至少72小时并统计到3个同意发版的binding票后（只有PMC的票才是binding），即可进入下一阶段的投票。

Dubbo社区投票邮件模板：

Hello Dubbo Community,
This is a call for vote to release Apache Dubbo version 2.7.2.
The release candidates:
https://dist.apache.org/repos/dist/dev/dubbo/2.7.2/
The staging repo:
https://repository.apache.org/content/repositories/orgapachedubbo-1005
Git tag for the release:
https://github.com/apache/dubbo/tree/dubbo-2.7.2
Hash for the release tag:
afab04c53edab38d52275d2a198ea1aff7a4f41e
Release Notes:
https://github.com/apache/dubbo/releases/tag/untagged-4775c0a22c60fca55118
The artifacts have been signed with Key : 28681CB1, which can be found in the keys file:
https://dist.apache.org/repos/dist/dev/dubbo/KEYS
The vote will be open for at least 72 hours or until necessary number of votes are reached.
Please vote accordingly:
[ ] +1 approve
[ ] +0 no opinion
[ ] -1 disapprove with the reason
Thanks,
The Apache Dubbo Team

宣布投票结果模板：

We’ve received 3 +1 binding votes and one +1 non-binding vote:
+1 binding, Ian Luo
+1 binding, Huxing Zhang
+1 binding, Jun Liu
+1 non-binding, Jerrick
I will start to release today.
Best regards,
The Apache Dubbo Team

正式发布

将dev目录下的发布包添加到release目录下，KEYS有更新的，也需要同步更新。
删除dev目录下的发布包
删除release目录下上一个版本的发布包，这些包会被自动保存在这里
发布GitHub上的release notes
修改GitHub的Readme文件，将版本号更新到最新发布的版本
在官网下载页面上添加最新版本的下载链接。最新的下载链接应该类似这样. 同时更新以前版本的下载链接，改为类似这样. 具体可以参考过往的下载链接
合并${release-version}-release分支到对应的主干分支，然后删除相应的release分支，例如: git push origin --delete 2.7.0-release
发邮件到 dev@dubbo.apache.org 宣布release邮件模板：

Hello Community,
The Apache Dubbo team is pleased to announce that the
2.6.6 has just been released.
Apache Dubbo™ is a high-performance, java based, open source
RPC framework. Dubbo offers three key functionalities, which include
interface based remote call, fault tolerance & load balancing, and
automatic service registration & discovery.
Both the source release[1] and the maven binary release[2] are available
now, you can also find the detailed release notes here[3].
If you have any usage questions, or have problems when upgrading or find
any problems about enhancements included in this release, please don’t
hesitate to let us know by sending feedback to this mailing list or filing
an issue on GitHub[4].
[1] http://dubbo.apache.org/en-us/blog/download.html
[2] https://repo1.maven.org/maven2/org/apache/dubbo/dubbo
[3] https://github.com/apache/dubbo/releases
[4] https://github.com/apache/dubbo/issues

完成Maven Convenient Binary发布（可选）

repository.apache.org nexus仓库的权限已经申请，参见jira

发布jar包到maven仓库，首先访问repository.apache.org, 选择staging repository, 点击release按钮。等待一段时间之后，在这里确认完整性和正确性. 发布到Maven中央仓库则还需要等待一段时间。可以在这里进行确认。

FAQ

gpg: signing failed: Inappropriate ioctl for device

If you’ve encountered this error, try the following commands:

export GPG_TTY=$(tty)

Contribution-Guidelines: 网站向导

Mon, 01 Jan 0001 00:00:00 +0000

Apache Dubbo 的网站仓库是 https://github.com/apache/dubbo-website
网站构建完毕后，它会被自动发布到 dubbo.apache.org，您也可以通过 https://selfserve.apache.org 手动触发（需要使用 Apache 账号登陆）

Contribution-Guidelines: 给问题打标签

Mon, 01 Jan 0001 00:00:00 +0000

如果您正在处理一个问题，请记得给这个问题标记一个或者多个您认为有意义的标签。有了标签，其他开发人员就会很轻松地识别出问题，以便对其进行分类并跟踪进度。

对于需要编码和发版修复的 issues 和 pull requests，需要您将其标记为 milestone。

一些常用的标签：

请求帮助
- help wanted
- good first issue
优先级
- priority/blocker
- priority/high
- priority/low
- priority/normal
状态
- status/need-triage
- status/DO-NOT-MERGE
- status/READY-TO-MERGE
- status/invalid
- status/wontfix
类型
- type/bug
- type/documentation
- type/enhancement
- type/feature

Contribution-Guidelines: 官方 Dubbo 主页的维护

Mon, 01 Jan 0001 00:00:00 +0000

Apache 有一个官方的网站，用来维护所有的孵化项目的信息。每一个孵化项目在这个网站下都有一个信息页。 Dubbo 的信息页地址是 https://incubator.apache.org/projects/dubbo.html。

当项目发生比较大的变化，比如新的 committer 的加入，新的 PMC 的当选，或是新版本的 Release 等，都需要将这些更新信息维护到这个页面。

这个官方网站的项目地址是https://svn.apache.org/repos/asf/incubator/public/trunk。

维护这个页面的方法如下：

1.安装 SVN。若是 Mac OS X 系统或是 Linux 系统，则自带了 SVN。若是 Windows 系统，则请首先自行安装 SVN。

2.用 SVN 将这个项目 checkout 下来。

3.修改 content/projects/dubbo.xml 文件，并保存。

4.安装 ANT。执行 trunk 目录下的 build.sh 或者 build.bat 脚本构建项目。

5.构建完成后，可以用浏览器打开 target/site/projects/dubbo.html 文件，预览修改是否生效。

6.用 SVN 的 commit 命令将 dubbo.xml 文件提交到服务器，并且不要提交 dubbo.html 文件（因为服务器端会定时自动构建）。此过程会要求输入Apache id和密码。

参考:

Apache Dubbo – Committer 指南

Contribution-Guidelines: Apache 提交者注册流程

一、Apache 提交者的产生

项目孵化初始化提交者

活跃的贡献者被选举为提交者

二、个人开发者提交 ICLA

1、选择 apache id

2、个人提交者授权协议（ICLA）：

3、导师帮助提交用户id创建请求

三、加入apache开发者组

四、提交者获得对项目的写权限

Apache账户授权

Github账户授权

在 github.com 设置 github 账户两因素授权（2FA）

五、其他

The Apache Way

添加你的名字

小福利

相关 wiki

Contribution-Guidelines: 如何准备 Apache Release

理解 Apache 发布的内容和流程

本地构建环境准备

安装GPG

用gpg生成key

查看 key id

设置 Apache 中央仓库

打包&上传

准备分支

编译打包

用maven-release-plugin发布 (废弃，参考后一步)

使用mvn deploy进行deploy

注意点

准备Apache发布

验证Release Candidates

检查签名和hash等信息

检查sha512哈希

检查gpg签名

检查源码包的文件内容

检查三方依赖的合规性

检查二进制包的文件内容

进入投票

正式发布

完成Maven Convenient Binary发布（可选）

FAQ

gpg: signing failed: Inappropriate ioctl for device

Contribution-Guidelines: 网站向导

Contribution-Guidelines: 给问题打标签

Contribution-Guidelines: 官方 Dubbo 主页的维护

用maven-release-plugin发布 (`废弃`，参考后一步)