为了应对黑客可以向 Maven 中央仓库上传普通代码库的恶意版本这一问题,Sonatype 公司发布了新的版本并默认使用了SSL 连接。Sonatype 公司的产品管理副总裁Brian Fox 主动对此事进行了评论,并说明最早提出SSL 连接需求的是Sonatype 公司的商业客户。他将这一问题之所以持续了这么久的原因归咎于大众的“安全盲点”,目前的事实就是从2012 年以来,只有12 个用户签约了启用SSL 的Nexus。
上周,安全顾问Max Veytsman 发布了一篇标题为“如何接管任何Java(或者是Clojure 或Scala)开发者的计算机”的博文,该博文发表之后,Maven 在明文的HTTP 协议之上进行操作的安全问题显得格外显著。在该博文中,Veytsman 重点强调了Maven 中央仓库在“中间人攻击”这一类网络攻击面前的脆弱性。
Sonatype 马上对此事做出了响应,并向外界透露:一个为所有用户修复安全漏洞的项目已经在紧锣密鼓的进行中,而当前的计划是8 月12 日前,将SSL 支持作为CLM 和Nexus 的默认选项。
Maven 中央仓库的 SSL 连接在 8 月 3 日已经可以使用,而现有的工具则可以通过配置来将 https://repo1.maven.org/maven2/ 作为默认中央仓库地址,当前的 Maven 用户可以通过在 settings.xml 文件中重新定义“central”来将 https 替换掉 http。
更多的信息可以查看该用户页面。
查看英文原文: Maven Central Enables SSL
暂无签名
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
字节跳动线上性能监控体系的建设
全新企业级制品管理平台 WePack 重磅发布
深度树匹配——下一代推荐技术的探索和实践
评论