Где хранить секретный ключ GPG для проекта Maven в среде CI?

Я пытаюсь использовать maven-gpg-plugin: подписать , чтобы подписать артефакты проекта перед развертыванием в репозитории Sonatype OSS. Вопрос в том, где мне хранить свой секретный ключ secring.gpg :

1. В непрерывной интеграции ~ / .gnupg каталог
2. В исходном коде проекта, например src /test/resources/gpg/secring.gpg

И почему?