Java 验证从开源编译的Maven依赖项JAR(.class文件)
我想验证Jar(.class)文件是否是从同一个源代码编译的,该源代码可以在线获得,甚至可以在Jar本身中获得。 理论上,有人可以将编译好的Jar上传到Maven存储库,并用PGP签名。但编译后的内容可能与上载时使用的源不同,并且包含恶意软件(请参阅和) 如何验证可以在Maven依赖项中找到的JAR中编译内容的完整性Java 验证从开源编译的Maven依赖项JAR(.class文件),java,maven,security,jar,pgp,Java,Maven,Security,Jar,Pgp,我想验证Jar(.class)文件是否是从同一个源代码编译的,该源代码可以在线获得,甚至可以在Jar本身中获得。 理论上,有人可以将编译好的Jar上传到Maven存储库,并用PGP签名。但编译后的内容可能与上载时使用的源不同,并且包含恶意软件(请参阅和) 如何验证可以在Maven依赖项中找到的JAR中编译内容的完整性 即使我已经通过HTTPS从已知的Maven存储库下载了签名的Jar,这个问题也可能发生。我可能想到的安全方法是编译所有依赖项的可用源代码并使用输出。从某个时候起,maven bui
即使我已经通过HTTPS从已知的Maven存储库下载了签名的Jar,这个问题也可能发生。我可能想到的安全方法是编译所有依赖项的可用源代码并使用输出。从某个时候起,maven build是可复制的-这意味着如果您获得源代码并在本地进行构建,结果将一点一点地相同 有关更多信息,请访问: