Maven包签名或您如何信任/验证Maven Central工件的完整性和真实性?

时间:2014-06-03 19:13:31

标签: security maven maven-central

我来自C world到Java。在C语言中,大多数库是来自签名包的系统,来自开源主页和.gpg签名的系统,或来自供应商的可靠来源。

如果是Java软件包分发,我会调查.m2目录和文件内容。没有签名!

~/.m2/settings.xml和最小pom.xml我得到:

$ mvn help:effective-settings
...
http://repo.maven.apache.org/maven2/org/apache/maven/plugins/maven-javadoc-plugin/2.8.1/maven-javadoc-plugin-2.8.1.pom

所以从HTTP加载包,而不是HTTPS!但是,使用HTTPS,您可以在GoDaddy获得100美元的证书。

您的团队如何使用Maven包管理安全性?

由于安全问题,您是否限制您的团队使用自己的Nexus安装放置受信任/已审核的软件包或禁止任何开源软件包/任何外部软件包?

更新我发现我们团队中的一些人提到了这个来源:

而不是:

为了降低SSL / TLS握手的服务器负载和维护成本,大多数免费 Maven服务提供HTTP和HTTPS连接。为了安全起见,最好关闭HTTP端口,但谁为主机公司的CPU时间付费......

1 个答案:

答案 0 :(得分:0)

我阅读了很棒的博文:

http://softwaremavens.blogspot.com/2010/01/top-10-reasons-why-maven-sucksnot.html

在评论中我找到了链接:

http://docs.codehaus.org/display/MAVEN/Repository+Security

列出了为存储库添加安全性的不完整计划(2008年最后一次触及!!)。