Maven Central 和 JCenter 是否容易被域名搶注?
[英]Are Maven Central and JCenter vulnerable for typosquatting?
問題描述
Maven Central 和 JCenter 是否容易被域名搶注? 是否可以通過拼寫錯誤的工件 ID 來獲得惡意依賴? 可以采取哪些措施來降低風險?
1 個解決方案
解決方案1
2 已采納 2019-01-21 18:32:25
如果您直接使用 central/JCenter(正如您在評論中提到的),我建議永遠不要在公司內部構建會打開攻擊向量的基礎設施(理論上)。 在這種情況下,總是建立在開放的基礎設施上,如 travis、circleci 等。
如果有人想根據您描述的場景將惡意工件放入 Central(我不能代表 JCenter;如果我沒記錯的話),這將需要一個(壞)人的訪問權限訪問已知組,其中包含廣為人知且最重要的工件。 這意味着這個壞人需要獲得通過不同區域發布工件的權限,包括對工件進行簽名。
好吧,讓我們假設有人已經克服了前面描述的障礙。
因此,工件的命名需要與其他工件非常相似。 現在有人需要打出一個特定的錯字,以便這個特定的工件會被選中。 其次,它需要以某種方式執行(也許單元測試/集成測試可能是可能的)。
所以最后我會說:理論上是的,實際上非常不可能。
但當然 100% 安全是不可能的,所以一般建議:
- 始終通過 https 傳輸(至少 TLSv1.2)
- 檢查工件的校驗和(如果校驗和不合適,則構建失敗)
- 在開發過程中使用審查過程
所以我只能建議在公司內部使用存儲庫管理器,當然還可以使用安全掃描器來檢查已知漏洞等。
此外,所有存儲庫管理器都可以選擇在使用之前阻止任何依賴項,並在您的公司內部進行某種審批流程,但缺點是在這里花費時間“可能”購買更多安全性。
JCenter和Maven Central如何相互不同?
[英]How are JCenter and Maven Central coordinates different from one another?
如何遷移gradle發布腳本以將OSS庫發布到Bintray的JCenter而不是Sonatype的Maven Central
[英]How to migrate gradle publication script to publish OSS library to Bintray's JCenter instead of Sonatype's Maven Central
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
將Android庫從JCenter發布到Maven Central
JCenter和Maven Central如何相互不同?
如何遷移gradle發布腳本以將OSS庫發布到Bintray的JCenter而不是Sonatype的Maven Central
獨立的jar和Maven Central
使用子模塊發布到Maven Central
Maven Central中的Web資源
Maven 依賴項中未顯示 Prisma 易受攻擊的依賴項:樹
脆弱的依賴 maven:org.yaml:snakeyaml
從中央存儲庫下載Maven
將工件發布到Maven Central時出錯
相關標簽