gradle wrapper の jar を更新した時、 jar ファイルが更新されたりされなかったりして正しいかどうかがよくわからない場合がある。

手元で確認する場合は以下のように実行すると良い。（gradle 6.1.1 の場合）

$ cd gradle/wrapper
$ curl --location --output gradle-wrapper.jar.sha256 https://services.gradle.org/distributions/gradle-6.1.1-wrapper.jar.sha256
$ echo "  gradle-wrapper.jar" >> gradle-wrapper.jar.sha256
$ shasum --check gradle-wrapper.jar.sha256

本来のモチベーションとしては OSS 上で Gradle バージョンアップおじさんにもらう Pull Request で妙な binary を入れられてもわかるようにするというような目的の様子。

https://docs.gradle.org/6.1.1/userguide/gradle_wrapper.html#wrapper_checksum_verification

Verifying Gradle Wrappers with GitHub Actions