BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Maven Central active le SSL

Maven Central active le SSL

Favoris

En réponse à des inquiétudes récentes que des hackers pourraient envoyer des versions corrompues de librairies communes sur Maven Central, Sonatype a mis à disposition la connectivité SSL, à des fins de tests. L'intention est de faire de ce mode celui par défaut après une période de transition. Le Responsable Gestion de Produit de Sonatype, Brian Fox, commente sur l'initiative et note que les clients commerciaux de Sonatype avaient été les premiers à demander une connectivité SSL. Il défend "l'angle mort" qui a causé le prolongement si long de l'existence de ce problème, du fait que depuis 2012 l'entreprise n'a eu que 12 abonnements à un Nexus avec SSL activé.

Le problème de Maven opérant en HTTP en clair a été mis en lumière de manière accentuée quand le consultant en sécurité Max Veytsman a posté sur son blog la semaine dernière un article intitulé "Comment prendre le contrôle de l'ordinateur de n'importe quel développeur Java (ou Clojure ou Scala)". Dans l'article, Veytsman accentue la vulnérabilité de Maven Central à la classe d'attaques réseau connues sous le nom d'attaques "Man in the Middle".

Sonatype a répondu et révélé qu'un projet pour résoudre la faille de sécurité pour tous les utilisateurs était déjà en cours, et que le plan actuel est d'avoir le support SSL comme option par défaut dans CLM et Nexus au 12 Août.

La connectivité SSL pour Maven Central a été rendue disponible le 3 Août, et les outils existants peuvent être configurés pour utiliser https://repo1.maven.org/maven2/ par défaut, et les utilisateurs existants de Maven peuvent créer un fichier settings.xml qui redéfinit 'central' pour utiliser https au lieu de http. Plus d'information sur la page clients.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT