使用maven central解決依賴關系（企業網絡內部）是否安全？

Question

我目前在工作中遇到一些問題，在每個人的計算機上部署的BitDefender防病毒套件阻止了對Maven Central的訪問。

首先，我們不是軟件商店，公司中只有2個人需要從Maven Central獲取罐子，所以我們遇到的問題對整個公司來說並不常見。

我曾與IT經理談過，雖然他不想允許從互聯網上的任何位置訪問罐子，但他確實在BitDefender政策中添加了一個例外，允許訪問和下載來自Maven Central的罐子（我們的構建工具順便說一下Gradle）。 一切都還好，除了還有一些我們無法從Maven Central成功訪問的罐子。

我得到的印象是，他傾向於必須為我們遇到麻煩的任何新罐子專門為BitDefender政策添加新的例外，評論說“通過信息，我們可能需要繼續調整和調整這些設置給定這些代碼更新和包使用HTTP協議的方式本質上是可疑的。“

現在，我的想法是，至少必須有安全可靠的方式來訪問任何所需的罐子，至少來自Maven Central的任何罐子。 當然這是主要軟件商店的工作方式，對吧？ 這些行業標准構建工具肯定不會“固有地使用HTTP協議”，對吧？

所以，我的問題是軟件商店等如何處理網絡安全問題，同時仍然允許他們的開發人員訪問他們完成工作所需的罐子？ 是否有任何有用的信息可以通過構建工具來解決從遠程存儲庫（如Maven Central）訪問jar的安全問題？ 我可以回到IT經理那里討論如何/為什么我們應該減少限制訪問的情況？

所有幫助/評論非常感謝！

Answer 1

這就是我們在公司所做的工作，我在一家安全性很強的大公司工作。

我們無法鏈接到maven中央存儲庫，但是有一個團隊致力於確保通過我們網絡中的“內部”存儲庫提供任何和所有可能的軟件工具。

如果我的項目需要一項技術，我會檢查它是否在內部回購中。 如果沒有，我可以要求包含它。

根據您提供的信息，您沒有大型軟件部門，我建議您在公司網絡中使用您目前需要的任何技術設置回購，這與我們在此做的類似。 這也很好，因為您可以根據需要隨着年份的進展添加技術，並且您的軟件團隊可能會增長（可能）。

我希望我提供了一些見解/想法。

Answer 2

These industry standard build tools surely do not make 'inherently dubious use of the HTTP protocol', right?

如果任何這些工具（特別是Maven）做任何可疑的事情，我真的會感到非常驚訝。 代碼是開放的，在那里，我相信人們已經知道它是否做了任何惡意的事情。

特別談到Maven Central，Maven Central中部署的所有罐子都需要用GPG密鑰簽名。 此外，文件還使用SHA校驗和進行保護，以確保它們不會被修改。 您可以在此處閱讀詳細的自述文件，了解將jar部署到maven central的過程，其中列出了將jar部署到Maven Central的所有必需要求。

https://docs.sonatype.org/display/Repository/Central+Sync+Requirements

Repository Manager將始終幫助您，確保文件只下載一次，然后在本地提供。 因此，只需添加本地存儲庫中缺少的依賴項，您只需要訪問Maven Central。 商業版的Nexus存儲庫管理器能夠根據其簽名驗證jar，以確保它未被修改。

我認為可以安全地訪問Maven Central，因為采用了足夠的安全措施來確保數據的完整性。

請注意，如果您碰巧訪問任何其他第三方存儲庫，則可能不一定安全。

總而言之，我確信它是關於下載這些jar文件的。 即使您沒有使用Maven，也必須從某個地方下載它們，同時確保手動下載所有傳遞依賴項並通過手動驗證校驗和來確保完整性。 Maven只是為您自動完成整個過程。 除此之外，它集中了所有這些庫並通過單個服務器提供服務，這與從各種服務器手動下載它們不同。

Answer 3

當安全考慮因素與發展需求相沖突時，它始終是一個困難的局面 在我曾與之合作的一家公司中，我們使用存儲庫管理器解決了Maven存儲庫問題，該管理器具有從外部存儲庫獲取jar的必要權限。 我強烈推薦這樣的工具，因為它還減少了對外部倉庫的依賴。 即使目前無法訪問外部存儲庫，您仍然可以構建SW。

當然，仍有可能濫用它。 這是您只能通過在相關群體之間建立相互信任來克服的。