BT

Accueil InfoQ Actualités Maven Central active le SSL

Maven Central active le SSL

Favoris

En réponse à des inquiétudes récentes que des hackers pourraient envoyer des versions corrompues de librairies communes sur Maven Central, Sonatype a mis à disposition la connectivité SSL, à des fins de tests. L'intention est de faire de ce mode celui par défaut après une période de transition. Le Responsable Gestion de Produit de Sonatype, Brian Fox, commente sur l'initiative et note que les clients commerciaux de Sonatype avaient été les premiers à demander une connectivité SSL. Il défend "l'angle mort" qui a causé le prolongement si long de l'existence de ce problème, du fait que depuis 2012 l'entreprise n'a eu que 12 abonnements à un Nexus avec SSL activé.

Le problème de Maven opérant en HTTP en clair a été mis en lumière de manière accentuée quand le consultant en sécurité Max Veytsman a posté sur son blog la semaine dernière un article intitulé "Comment prendre le contrôle de l'ordinateur de n'importe quel développeur Java (ou Clojure ou Scala)". Dans l'article, Veytsman accentue la vulnérabilité de Maven Central à la classe d'attaques réseau connues sous le nom d'attaques "Man in the Middle".

Sonatype a répondu et révélé qu'un projet pour résoudre la faille de sécurité pour tous les utilisateurs était déjà en cours, et que le plan actuel est d'avoir le support SSL comme option par défaut dans CLM et Nexus au 12 Août.

La connectivité SSL pour Maven Central a été rendue disponible le 3 Août, et les outils existants peuvent être configurés pour utiliser https://repo1.maven.org/maven2/ par défaut, et les utilisateurs existants de Maven peuvent créer un fichier settings.xml qui redéfinit 'central' pour utiliser https au lieu de http. Plus d'information sur la page clients.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Votre profil est-il à jour? Merci de prendre un instant pour vérifier.

Note: en cas de modification de votre adresse email, une validation sera envoyée.

Nom de votre entreprise:
Rôle dans votre entreprise:
Taille de votre entreprise:
Pays/Zone:
État/Province/Région:
Vous allez recevoir un email pour confirmer la nouvelle adresse email. Ce pop-up va se fermer de lui-même dans quelques instants.