【文件属性】：
文件名称：Retrial:建立Gradle依赖关系的时间验证
文件大小：50.02MB
文件格式：ZIP
更新时间：2021-05-24 23:22:55
Kotlin 再审 一个Gradle插件，可在构建时验证依赖关系的完整性，以防止供应链攻击。 创建是为了解决Open Whisper Systems的插件中未解决的问题，并提供了一种更方便的方法来存储依赖项校验和。 支持通知：该库现在是稳定的。 它不再处于积极的开发中，但是仍然接受其他人的拉动请求。 为什么要使用重审 对于任何不重要的项目，都不可避免地要使用远程依赖关系，但这会为供应链攻击创造机会。 通过充当MITM或直接访问远程存储库，攻击者可以用自己的受感染版本替换合法的依赖关系。 如果使用得当，此类攻击将使对手在构建时就将漏洞注入您的项目。 重试通过保留每个依赖项的加密安全校验和，并在构建时将保存的校验和与当前校验和进行比较来防止此问题。 如果任何依赖项以任何方式发生了变化，那么Retrial将使构建失败并描述该变化。 由于依赖关系可能具有其自己的依赖关系，因此Retrial可传递地检查整个