Maven中央倉庫啟用SSL

jopen 10年前發布 | 12K 次閱讀 Maven

英文原文:Maven Central Enables SSL

  為了應對黑客可以向 Maven 中央倉庫上傳普通代碼庫的惡意版本這一問題,Sonatype 公司啟用了 SSL 連接以供測試之用。Sonatype 公司之所以這樣做的目的是為了在經歷一個過渡期之后讓 SSL 這一連接模式成為默認的連接方式。Sonatype 公司的產品管理副總裁 Brian Fox 主動對此事進行了評論,并說明最早提出 SSL 連接需求的是 Sonatype 公司的商業客戶。他將這一問題之所以持續了這么久的原因歸咎于大眾的“安全盲點”,目前的事實就是從 2012 年以來,只有 12 個用戶簽約了啟用 SSL 的 Nexus。

  上周,安全顧問 Max Veytsman 發布了一篇標題為“如何接管任何 Java(或者是 Clojure 或 Scala)開發者的計算機”的博文,該博文發表之后,Maven 在明文的 HTTP 協議之上進行操作的安全問題顯得格外顯著。在該博文中,Veytsman 重點強調了 Maven 中央倉庫在“中間人攻擊”這一類網絡攻擊面前的脆弱性。

  Sonatype 馬上對此事做出了響應,并向外界透露:一個為所有用戶修復安全漏洞的項目已經在緊鑼密鼓的進行中,而當前的計劃是 8 月 12 日前,將 SSL 支持作為 CLM 和 Nexus 的默認選項。

  Maven 中央倉庫的 SSL 連接在 8 月 3 日已經可以使用,而現有的工具則可以通過配置來將 https://repo1.maven.org/maven2/作為默認中央倉庫地址,當前的 Maven 用戶可以通過在 settings.xml 文件中重新定義“central”來將 https 替換掉 http。

  更多的信息可以查看該用戶頁面

來自: InfoQ 
                    <span id="shareA4" class="fl">                            
                        </span>
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/4d7837