我来自C world到Java。在C语言中,大多数库是来自签名包的系统,来自开源主页和.gpg签名的系统,或来自供应商的可靠来源。
如果是Java软件包分发,我会调查.m2目录和文件内容。没有签名!
空~/.m2/settings.xml和最小pom.xml我得到:
$ mvn help:effective-settings
...
http://repo.maven.apache.org/maven2/org/apache/maven/plugins/maven-javadoc-plugin/2.8.1/maven-javadoc-plugin-2.8.1.pom
所以从HTTP加载包,而不是HTTPS!但是,使用HTTPS,您可以在GoDaddy获得100美元的证书。
您的团队如何使用Maven包管理安全性?
由于安全问题,您是否限制您的团队使用自己的Nexus安装放置受信任/已审核的软件包或禁止任何开源软件包/任何外部软件包?
更新我发现我们团队中的一些人提到了这个来源:
而不是:
为了降低SSL / TLS握手的服务器负载和维护成本,大多数免费 Maven服务提供HTTP和HTTPS连接。为了安全起见,最好关闭HTTP端口,但谁为主机公司的CPU时间付费......
答案 0 :(得分:0)
我阅读了很棒的博文:
http://softwaremavens.blogspot.com/2010/01/top-10-reasons-why-maven-sucksnot.html
在评论中我找到了链接:
http://docs.codehaus.org/display/MAVEN/Repository+Security
列出了为存储库添加安全性的不完整计划(2008年最后一次触及!!)。