4

我从 C 世界来到 Java。在 C 中,大多数库是来自签名包的系统,来自带有 .gpg 签名的开源主页,或者来自供应商通过受信任的来源。

在 Java 包分发的情况下,我会调查.m2目录和文件内容。没有签名!

~/.m2/settings.xml的和最小的pom.xml我得到:

$ mvn help:effective-settings
...
http://repo.maven.apache.org/maven2/org/apache/maven/plugins/maven-javadoc-plugin/2.8.1/maven-javadoc-plugin-2.8.1.pom

所以从 HTTP 加载的包,而不是 HTTPS!但是使用 HTTPS,您可以在 GoDaddy 以 100 美元的价格获得证书。

您的团队如何使用 Maven 包管理安全性?

由于安全问题,您是否使用自己的 Nexus 安装来限制您的团队放置受信任/审查过的包或禁止任何开源包/任何外部包?

更新我发现我们团队的一些人把这个来源:

代替:

为了减少 SSL/TLS 握手的服务器负载和维护成本,大多数免费的Maven 服务都提供 HTTP 和 HTTPS 连接。为了安全起见,完全关闭 HTTP 端口会很好,但是谁为托管公司的 CPU 时间买单……

4

1 回答 1

0

我阅读了优秀的博客文章:

http://softwaremavens.blogspot.com/2010/01/top-10-reasons-why-maven-sucksnot.html

在评论中我发现链接到:

http://docs.codehaus.org/display/MAVEN/Repository+Security

其中列出了为存储库添加安全性的不完整计划(最后一次触及的页面是 2008 年!!)。

于 2014-06-27T14:53:20.380 回答