Nexus Pro如何自动验证下载工件的真实性?

时间:2013-02-21 19:36:38

标签: security maven build nexus pgp

我已经对Maven Central Repository安全性进行了一些研究,特别是Cross Build Injection攻击(XBI)。我读了几个链接,我在下面列出:

http://www.sonatype.com/people/2010/01/how-to-generate-pgp-signatures-with-maven/

http://maven.apache.org/guides/mini/guide-central-repository-upload.html

Verification of dependency authenticy in Maven POM based automated build systems

以下是我理解的要点

  1. 所有上传到中央存储库都需要签名工件 由开源发布经理拥有的PGP私钥 项目。
  2. 应将公钥提交给密钥服务器 作为MIT密钥服务器
  3. 手动验证下载的工件是     繁琐。
  4. Rex Manager Pro(如Nexus Pro)提供了自动验证下载工件签名的功能。

    5. 但是,Nexus Pro如何进行自动验证? Nexus是否维护Maven Central托管的所有开源项目的PGP keyid存储库? sonatype是否验证并签署开源项目上传到密钥服务器的PGP公钥?有人知道内幕吗?

1 个答案:

答案 0 :(得分:0)

所有GPG密钥都可在公钥服务器上使用,Nexus会针对每个下载的组件进行验证。每次上传到Central都需要已知,已注册和已批准的密钥。

有关此流程的详细信息,请访问https://docs.sonatype.org/display/Repository/Sonatype+OSS+Maven+Repository+Usage+Guide

相关问题
最新问题