Retrial:建立Gradle依赖关系的时间验证

时间:2024-06-13 17:09:35
【文件属性】:

文件名称:Retrial:建立Gradle依赖关系的时间验证

文件大小:50.02MB

文件格式:ZIP

更新时间:2024-06-13 17:09:35

Kotlin

再审 一个Gradle插件,可在构建时验证依赖关系的完整性,以防止供应链攻击。 创建是为了解决Open Whisper Systems的插件中未解决的问题,并提供了一种更方便的方法来存储依赖项校验和。 支持通知:该库现在是稳定的。 它不再处于积极的开发中,但是仍然接受其他人的拉动请求。 为什么要使用重审 对于任何不重要的项目,都不可避免地要使用远程依赖关系,但这会为供应链攻击创造机会。 通过充当MITM或直接访问远程存储库,攻击者可以用自己的受感染版本替换合法的依赖关系。 如果使用得当,此类攻击将使对手在构建时就将漏洞注入您的项目。 重试通过保留每个依赖项的加密安全校验和,并在构建时将保存的校验和与当前校验和进行比较来防止此问题。 如果任何依赖项以任何方式发生了变化,那么Retrial将使构建失败并描述该变化。 由于依赖关系可能具有其自己的依赖关系,因此Retrial可传递地检查整个


网友评论