【发布时间】:2017-08-21 03:11:36
【问题描述】:
MavenCentral 包含很多工件。其中一些不应该使用,因为它们有严重的错误,例如威胁安全。
我知道 Nexus Firewall 提供了一项昂贵的服务来分析这些工件。是否有其他方法可以提供(至少一点)针对此类漏洞的保护?
【问题讨论】:
-
好吧,您最好的选择可能是了解您自己使用的组件。毕竟是你知道哪些正在被使用以及你如何使用它们。我假设更易受攻击/暴露的组件提供了一些方法来发布已知漏洞和修复,至少这是我们与更通用的安全委员会一起监控的内容。
-
@Thomas 谢谢,我应该更清楚一点:我们公司使用的外部 jar 有 1000 多个。其中大部分来自 MavenCentral。我想编写一个自动检查,查看这 1000 多个罐子(以及将来添加的所有罐子),以提示我是否应该使用这些罐子。可以通过 Maven 获取许可,但也应考虑其他信息(如安全性)。
标签: java maven maven-central