Где хранить секретный ключ GPG для проекта Maven в среде CI?

Я пытаюсь использовать maven-gpg-plugin: sign , чтобы подписать артефакты проекта перед развертыванием на Репозиторий Sonatype OSS. Вопрос в том, где мне хранить свой секретный ключ secring.gpg :

1. В непрерывной интеграции ~ / .gnupg каталог
2. В исходном коде проекта, например src / тест / ресурсы / gpg / secring. m еще не уверен, что могу даже написать фильтр $ для обработки второго предиката ... в этом случае предположим, что я пытаюсь ответить на вопрос: «Фамилия заканчивается на смит, а имя начинается на Мэри»)