为了应对黑客可以向Maven中央仓库上传普通代码库的恶意版本这一问题,Sonatype公司启用了SSL连接以供测试之用。Sonatype公司之所以这样做的目的是为了在经历一个过渡期之后让SSL这一连接模式成为默认的连接方式。Sonatype公司的产品管理副总裁Brian Fox 主动对此事进行了评论,并说明最早提出SSL连接需求的是Sonatype公司的商业客户。他将这一问题之所以持续了这么久的原因归咎于大众的“安全盲点”,目前的事实就是从2012年以来,只有12个用户签约了启用SSL的Nexus。
上周,安全顾问Max Veytsman发布了一篇标题为“如何接管任何Java(或者是Clojure或Scala)开发者的计算机”的博文,该博文发表之后,Maven在明文的HTTP协议之上进行操作的安全问题显得格外显著。在该博文中,Veytsman重点强调了Maven中央仓库在“中间人攻击”这一类网络攻击面前的脆弱性。
Sonatype马上对此事做出了响应,并向外界透露:一个为所有用户修复安全漏洞的项目已经在紧锣密鼓的进行中,而当前的计划是8月12日前,将SSL支持作为CLM和Nexus的默认选项。
Maven中央仓库的SSL连接在8月3日已经可以使用,而现有的工具则可以通过配置来将https://repo1.maven.org/maven2/作为默认中央仓库地址,当前的Maven用户可以通过在settings.xml文件中重新定义“central”来将https替换掉http。
时间: 2025-01-21 04:14:50