gpt4 book ai didi

security - Maven 包签名或您如何信任/验证 Maven Central Artifact 的完整性和真实性?

转载 作者:行者123 更新时间:2023-12-03 21:39:54 25 4
gpt4 key购买 nike

我从 C 世界来到 Java。在 C 中,大多数库都是来自签名包的系统,来自带有 .gpg 签名的开源主页,或者来自供应商通过受信任的来源。

如果是 Java 包分发,我会调查 .m2目录和文件内容。没有签名!

与空 ~/.m2/settings.xml和最小 pom.xml我得到:

$ mvn help:effective-settings
...
http://repo.maven.apache.org/maven2/org/apache/maven/plugins/maven-javadoc-plugin/2.8.1/maven-javadoc-plugin-2.8.1.pom

所以从 HTTP 加载包,而不是 HTTPS!但是使用 HTTPS,您可以在 GoDaddy 以 100 美元的价格获得证书。

您的团队如何使用 Maven 包管理安全性?

由于安全问题,您是否使用自己的 Nexus 安装来限制您的团队放置受信任/审查的软件包或禁止任何开源软件包/任何外部软件包?

更新 我发现我们团队的一些人把这个来源:
  • http://oss.sonatype.org/content/repositories/snapshots/

  • 代替:
  • https://oss.sonatype.org/content/repositories/snapshots/

  • 为了减少 SSL/TLS 握手的服务器负载和维护成本,大多数免费 Maven 服务提供 HTTP 和 HTTPS 连接。为了安全起见,完全关闭 HTTP 端口会很好,但是谁为托管公司的 CPU 时间付出了代价...

    最佳答案

    我阅读了优秀的博客文章:

    http://softwaremavens.blogspot.com/2010/01/top-10-reasons-why-maven-sucksnot.html

    在评论中,我找到了以下链接:

    http://docs.codehaus.org/display/MAVEN/Repository+Security

    其中列出了为存储库添加安全性的不完整计划(最后一次触及的页面是 2008 年!!)。

    关于security - Maven 包签名或您如何信任/验证 Maven Central Artifact 的完整性和真实性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24023146/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com