V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZeawinL
V2EX  ›  Java

国内 Maven 项目如何避免供应链攻击?

  •  
  •   ZeawinL · 2020-12-09 03:42:36 +08:00 via iPhone · 1813 次点击
    这是一个创建于 1474 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前天使用 Maven,发现有一些依赖无法下载,抛出"java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty",查了一下发现可能和 ssl 有关,因为我用的是 openjdk 然后换了个国内不明源 jdk 就没问题了。
    但是这正是问题所在,国内开发 Maven 项目的开发者,如无意外都是使用阿里云的镜像,但阿里云目前没有提供 https 的镜像仓库地址,这就及易产生供应链攻击。
    第 1 条附言  ·  2020-12-09 08:51:30 +08:00
    不好意思 T.T
    第 2 条附言  ·  2021-01-27 19:28:18 +08:00
    但是阿里得好像要手动安装他们的证书,所以我还是用代理吧
    yuzo555
        1
    yuzo555  
       2020-12-09 03:46:17 +08:00   ❤️ 1
    https://maven.aliyun.com
    都是 HTTPS 呀...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2598 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:56 · PVG 18:56 · LAX 02:56 · JFK 05:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.