4

現在、職場で問題が発生しており、全員のコンピューターに展開されている BitDefender ウイルス対策スイートが Maven Central へのアクセスをブロックしています。

まず、私たちはソフトウェア ショップではありません。社内で Maven Central から jar にアクセスする必要があるのは実際には 2 人だけなので、私たちが直面する問題は会社全体に共通するものではありません。

私は IT マネージャーと話しました。彼はインターネット上のどの場所からでも jar にアクセスすることを許可したくありませんでしたが、彼は BitDefender ポリシーに例外を追加して、Maven Central からの jar へのアクセスとダウンロードを許可しました (私たちのちなみにビルドツールはGradleです)。Maven Central から正常にアクセスできない jar がまだいくつかあることを除けば、すべて問題ありません。

私たちが問題を抱えている新しい jar に対して、BitDefender ポリシーに新しい例外を具体的に追加する必要があるという印象を受けました。これらのコードの更新とパッケージが HTTP プロトコルを使用する方法の本質的に疑わしい性質です。」

今、私の考えでは、必要な jar、少なくとも Maven Central からの jar にアクセスするための安全で確実な手段が明らかに必要です。確かに、これは主要なソフトウェア ショップの仕組みですよね? これらの業界標準のビルド ツールは、「HTTP プロトコルの本質的に疑わしい使用」をしていませんよね?

それで、私の質問は、ソフトウェア ショップなどは、開発者が仕事をするために必要な jar にアクセスできるようにしながら、ネットワーク セキュリティの問題にどのように取り組むのですか? ビルド ツールを介して Maven Central などのリモート リポジトリから jar にアクセスする際のセキュリティ面について、そのアドレスを参照できる有用な情報はありますか? アクセスの制限を緩和する方法/理由について、IT マネージャーに相談できることはありますか?

すべてのヘルプ/コメントは大歓迎です!

4

3 に答える 3

3

これが私の会社での仕事です。私はセキュリティが厳重な非常に大きな会社で働いています。

Maven の中央リポジトリにリンクすることはできませんが、ネットワーク内の「社内」リポジトリを介してあらゆる可能なソフトウェア ツールを確実に利用できるようにすることに専念するチーム全体があります。

プロジェクトに必要なテクノロジーがある場合は、社内リポジトリにあるかどうかを確認します。そうでない場合は、含まれるようにリクエストできます。

大きなソフトウェア部門を持たないというあなたが提供した情報に基づいて、現在必要なテクノロジーを使用して、会社のネットワーク内にレポを設定する際に、ここで行っていることと同様のことを行うことをお勧めします. 年月が経ち、ソフトウェア チームが (おそらく) 成長するにつれて、必要に応じてテクノロジを追加できるため、これも優れています。

いくつかの洞察/アイデアを提供できたことを願っています。

于 2013-10-31T19:02:04.320 に答える
2

These industry standard build tools surely do not make 'inherently dubious use of the HTTP protocol', right?

これらのツール (特に Maven) のいずれかが疑わしいことを行うとしたら、私は本当に驚くでしょう。コードは公開されており、悪意のあることを行っているかどうかはすでにわかっているはずです。

特に Maven Central について言えば、Maven Central にデプロイされたすべての jar は GPG キーで署名する必要があります。また、ファイルは SHA チェックサムで保護され、変更されていないことが保証されます。jar を Maven Central にデプロイするプロセスの詳細な Readme をここで読むことができます。これには、jar を Maven Central にデプロイするためのすべての必須要件がリストされています。

https://docs.sonatype.org/display/Repository/Central+Sync+Requirements

リポジトリ マネージャーは、ファイルが 1 回だけダウンロードされ、ローカルで提供されるようにするため、常に役立ちます。そのため、ローカル リポジトリにない依存関係を追加する場合にのみ、Maven Central にアクセスする必要があります。Nexus リポジトリ マネージャの商用バージョンには、jar をその署名に対して検証して、変更されていないことを確認する機能があります。

データの整合性を確保するために適切なセキュリティ対策が採用されているため、Maven Central にアクセスしても安全だと思います。

ただし、他のサードパーティのリポジトリにアクセスした場合、必ずしも安全であるとは限らないことに注意してください。

全体として、これらのjarファイルをダウンロードすることについて確信しています。Maven を使用していない場合でも、どこかからダウンロードする必要があります。また、すべての推移的な依存関係を手動でプルダウンし、チェックサムを手動で検証して整合性を確保する必要があります。Maven は単にプロセス全体を自動化するだけです。それに加えて、さまざまなサーバーから手動でダウンロードする場合とは異なり、これらすべてのライブラリを一元化し、単一のサーバーを介して提供します。

于 2013-10-31T19:29:05.437 に答える