我试图找到是否有启用SSL的中央存储库,但可能没有.我注意到maven中央存储库中的每个jar和pom文件都有签名.所以至少我想查看所有maven下载文件(pom/jar)的签名.
来自http://repo1.maven.org/maven2/org/apache/ant/ant/1.8.2/的示例:
ant-1.8.2.jar
ant-1.8.2.jar.asc
ant-1.8.2.jar.asc.md5
ant-1.8.2.jar.asc.sha1
ant-1.8.2.jar.md5
ant-1.8.2.jar.sha1
ant-1.8.2.pom
ant-1.8.2.pom.asc
ant-1.8.2.pom.asc.md5
ant-1.8.2.pom.asc.sha1
ant-1.8.2.pom.md5
ant-1.8.2.pom.sha1
我意识到我必须为每个存储库导入公钥,我很好.我猜maven central的公钥是https://svn.apache.org/repos/asf/maven/project/KEYS.
关于如何使用maven进行签名,网上有很多关于教程的教程.但是我没有找到任何关于如何强制maven(2或3)来验证下载的jar/pom文件的签名的信息.可能吗?
(Nexus Professional不是一个选项)
谢谢你的帮助.
我刚刚指出一篇非常有趣的文章,关于一个名为Cross Build Injection(XBI)的安全问题.基本上,它是一个奇特的名称,通过自动构建系统(如ant,maven或ivy)在构建时将不良代码走私到应用程序中.
通过引入加密签名验证可以缓解这个问题,因为它目前已经存在许多用于下载包的操作系统.
要明确:我不是在谈论简单地为工件提供md5或sha1哈希.这已经完成,但这些哈希值存储在与工件相同的位置.因此,一旦恶意黑客破坏了存储库并且可以替换工件,他们也可以替换哈希.
因此,实际需要的是某种PKI,它允许开发人员签署他们的工件和maven以验证这些签名.由于签名是使用开发人员的私钥完成的,因此只有存储库被泄露时才能被篡改.
有没有人知道这个在maven中的状态?