Účelem podepsání Maven artefaktů s GPG

hlasů
2

Chápu, že to může být provedeno při uvolnění pomocí Maven-gpg-plugin. Jsem však nevyvíjí open source software. Musím ještě potřeba podepsat své vlastní artefakty? Jaký to má smysl to? Myslel jsem, že jakmile moje zdroje byly sestaveny do JAR, byli v bezpečí vlastně je? Dík!

Položena 25/03/2012 v 19:10
zdroj uživatelem
V jiných jazycích...                            


1 odpovědí

hlasů
3

Pokud kompilace své zdroje do sklenice je v pořádku. Ale jar a je prostě zip soubor, který lze jednoduše rozbalili podle unzip / JAR poté můžete upravit obsah kelímku, který znamená, že můžete jednoduše měnit obsah a přebalit, že do sklenice. Dalo by se říci to jasně: Je to bezpečné, je prostě špatně.

Máte-li vytvořit artefakty přes maven budete nasazovat své artefakty do úložiště správce a během procesu uvolňování je vytvořen SHA1 součet ..., které mohou být kontrolovány při použití závislostí (download). Výchozí konfigurace právě tiskne varování v případě, že kontrolní součet v úložišti není totéž jako počítáno přes archiv jar. Můžete, pokud budete chtít změnit konfiguraci prolomit build-li kontrolní součet je špatně . Kontrolní součet je pouze identifikovat modifikace artefaktů, které také není 100% bezpečný, protože to může stát, že budete mít man-in-the-middle-útok, který by mohl nejen modifiy obsah sklenice a také kontrolní součet. Na druhé straně podpis artefaktu se používá k identifikaci, který vytvořil tento artefakt. V některých prostředích to dává smysl podepisovat artefakty během procesu uvolňování.

Aktualizace Chcete-li zabránit man-in-the-middle-připojit centrální úložiště Maven používá po dlouhou dobu https namísto http.

Odpovězeno 27/03/2012 v 15:50
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more