Java Gradle缓存哈希与存储库的比较
我们在中央服务器上运行gradle构建,该服务器缓存依赖项,甚至在项目之间共享它们。Java Gradle缓存哈希与存储库的比较,java,gradle,build,Java,Gradle,Build,我们在中央服务器上运行gradle构建,该服务器缓存依赖项,甚至在项目之间共享它们。 我们担心恶意作业可能会将依赖项更改为伪造的依赖项 有没有办法用我们使用的依赖服务器上的哈希值验证本地副本的哈希值? 谢谢大家! 有一个很好的Gradle插件可以解决这个问题 当gradle检索工件时,它还将检索md5sum和SHA1 SUM,以验证它们是否与检索文件的计算md5sum和SHA1 SUM匹配。显然,问题在于,如果有人能够破坏远程maven存储库,并将依赖项的jar/aar更改为包含一些恶意功能,那
我们担心恶意作业可能会将依赖项更改为伪造的依赖项 有没有办法用我们使用的依赖服务器上的哈希值验证本地副本的哈希值?
谢谢大家! 有一个很好的Gradle插件可以解决这个问题 当gradle检索工件时,它还将检索md5sum和SHA1 SUM,以验证它们是否与检索文件的计算md5sum和SHA1 SUM匹配。显然,问题在于,如果有人能够破坏远程maven存储库,并将依赖项的jar/aar更改为包含一些恶意功能,那么他们也可以很容易地更改存储库发布的md5sum和sha1sum值 这个gradle插件只允许项目的作者静态地指定它使用的依赖项的sha256sum
此外,看看依赖真实性,你可能也会感兴趣。有一个校验和依赖插件,它比见证更强大(请参阅)