国内 Maven 项目如何避免供应链攻击?

2020-12-09 03:42:36 +08:00
 ZeawinL
前天使用 Maven,发现有一些依赖无法下载,抛出"java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty",查了一下发现可能和 ssl 有关,因为我用的是 openjdk 然后换了个国内不明源 jdk 就没问题了。
但是这正是问题所在,国内开发 Maven 项目的开发者,如无意外都是使用阿里云的镜像,但阿里云目前没有提供 https 的镜像仓库地址,这就及易产生供应链攻击。
1806 次点击
所在节点    Java
1 条回复
yuzo555
2020-12-09 03:46:17 +08:00
https://maven.aliyun.com
都是 HTTPS 呀...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/733557

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX