Maven è un vettore plausibile di attacco?

Naviga le tue risposte
12

Hai un sistema informatico, per sviluppare e far funzionare il tuo progetto Top Secret ™, e non permetti l'accesso diretto a Internet.

Tuttavia, si desidera utilizzare Maven, con tutti i vantaggi che offre e quindi si consente a Maven di accedere al proprio repository intranet, che quindi ha accesso al repository internet.

La domanda è: se qualcuno conoscesse il tuo progetto Top Secret e sapesse che stai usando Maven, potrebbe sfruttarlo per cercare di penetrare nel tuo sistema e recuperare informazioni?

    
posta dwjohnston 09.07.2015 - 23:22
fonte

2 risposte

8

Certamente era nel passato. Vedi link

Maven Central supporta HTTPS, a partire da luglio 2014 .

Maven Central richiede le firme PGP per gli artefatti. C'è un plugin per verificare le firme: link

Ora, badguy può scrivere un programma dannoso e firmarlo con PGP, e verrebbe verificato, quindi ti consigliamo di controllare che la firma PGP appartenga a un'organizzazione / sviluppatore di cui ti fidi.

    
risposta data 10.07.2015 - 02:16
fonte
2

  1. Insieme alla risposta accettata, il repository Maven della tua intranet può essere avvelenato da qualcuno all'interno della tua organizzazione con accesso al tuo repository Maven della tua intranet. Ti consiglierei di applicare il controllo di accesso rigoroso al repository Maven della tua intranet. Molti repository Maven nella mia esperienza hanno un singolo utente amministratore a cui molti sviluppatori conoscono la password.

  2. " A Cross-Build Injection (XBI) attacco è possibile anche avvelenando il plugin-compilatore-maven utilizzato dalla maggior parte dei progetti di Maven.

  3. Dilettante è un proxy per sfruttare il fatto che le versioni precedenti di Maven si connettono ancora tramite HTTP e non con HTTPS.

risposta data 01.12.2015 - 09:02
fonte

Leggi altre domande sui tag

File zip con due password Inversione di una scheda di ingresso - Come scoprire che tipo di hardware RFID ho bisogno di leggere il chip?