BT
x Votre opinion compte ! Merci de bien vouloir répondre au sondage InfoQ concernant vos habitudes de lecture !

Maven Central active le SSL

par Ben Evans , traduit par Simon Baslé le 06 août 2014 |

En réponse à des inquiétudes récentes que des hackers pourraient envoyer des versions corrompues de librairies communes sur Maven Central, Sonatype a mis à disposition la connectivité SSL, à des fins de tests. L'intention est de faire de ce mode celui par défaut après une période de transition. Le Responsable Gestion de Produit de Sonatype, Brian Fox, commente sur l'initiative et note que les clients commerciaux de Sonatype avaient été les premiers à demander une connectivité SSL. Il défend "l'angle mort" qui a causé le prolongement si long de l'existence de ce problème, du fait que depuis 2012 l'entreprise n'a eu que 12 abonnements à un Nexus avec SSL activé.

Le problème de Maven opérant en HTTP en clair a été mis en lumière de manière accentuée quand le consultant en sécurité Max Veytsman a posté sur son blog la semaine dernière un article intitulé "Comment prendre le contrôle de l'ordinateur de n'importe quel développeur Java (ou Clojure ou Scala)". Dans l'article, Veytsman accentue la vulnérabilité de Maven Central à la classe d'attaques réseau connues sous le nom d'attaques "Man in the Middle".

Sonatype a répondu et révélé qu'un projet pour résoudre la faille de sécurité pour tous les utilisateurs était déjà en cours, et que le plan actuel est d'avoir le support SSL comme option par défaut dans CLM et Nexus au 12 Août.

La connectivité SSL pour Maven Central a été rendue disponible le 3 Août, et les outils existants peuvent être configurés pour utiliser https://repo1.maven.org/maven2/ par défaut, et les utilisateurs existants de Maven peuvent créer un fichier settings.xml qui redéfinit 'central' pour utiliser https au lieu de http. Plus d'information sur la page clients.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2014 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT