将Gradle见证插件与java库一起使用
很长一段时间以来,我一直在使用带有将Gradle见证插件与java库一起使用,java,maven,gradle,Java,Maven,Gradle,很长一段时间以来,我一直在使用带有java插件的Gradle,以及Gradle Witness来验证Maven依赖性。e、 g: apply plugin: 'java' apply plugin: 'witness' dependencies { compile "io.netty:netty-all:4.0.30.Final" } dependencyVerification { verify = [ 'io.netty:netty-all:1578cbb
java
插件的Gradle,以及Gradle Witness来验证Maven依赖性。e、 g:
apply plugin: 'java'
apply plugin: 'witness'
dependencies {
compile "io.netty:netty-all:4.0.30.Final"
}
dependencyVerification {
verify = [
'io.netty:netty-all:1578cbb1354f02951c6ce5d374962e703afb882321164db9e3a2cfb141a1ebeb'
]
}
我现在想切换到java库
插件,但它似乎与Witness不兼容。生成失败,出现以下错误:未找到完整性断言的依赖项:io.netty:netty all
apply plugin: 'java-library'
apply plugin: 'witness'
dependencies {
implementation "io.netty:netty-all:4.0.30.Final"
}
dependencyVerification {
verify = [
'io.netty:netty-all:1578cbb1354f02951c6ce5d374962e703afb882321164db9e3a2cfb141a1ebeb'
]
}
我工作的项目是安全敏感的,我们需要能够验证依赖项的精确校验和(而不仅仅是PGP
签名)
是否有任何方法可以帮助Witness
解决问题,或者使用具有相同功能的不同插件?不幸的是,证人似乎没有得到保护。应涵盖所有案件
示例集成:
主要特点有:
allDependencies
,这基本上是Gradle默认的dependencies
任务,添加到所有项目中rootDir/build/checksum/checksum.xml
文件(因此您可以查看它)。除此之外,您还可以添加-PchecksumUpdate
来更新校验和/PGP键似乎我不是唯一一个错过这个功能的人:谢谢!我在RSK项目上发表了一期新文章,对其进行评估: