Potenziale problema nel repository pubblico di Maven

0

Problema

Questa mattina ho scoperto che, quello che pensavo fosse uno dei nostri artefatti proprietari, era stato pubblicato su un archivio pubblico:

link

Se fai clic sul link, vedi che ci sono tonnellate di artefatti di aziende come Adobe, Amazon, AOL, BP, ... almeno alcuni dei quali non sembrano destinati al pubblico.

Navigazione verso il basso e il download di qualsiasi artefatto, ad esempio

link

produce sempre un file identico di 1.33kb che in realtà non è un artefatto software ma un file HTML e che è stato pubblicato per la prima volta nel repository circa 170 giorni fa.

Ciò che è strano è che questo repository dovrebbe essere un mirror / cache di un altro repository, ma questo altro repository in realtà non contiene queste risorse,

La situazione non sembra essere così grave come pensavo, dal momento che nessuna proprietà intellettuale sembra essere stata trapelata, ma nessuno sarà davvero contento di avere i loro nomi di progetti interni pubblici.

Domanda

Puoi aiutarmi a dare un senso a questo? Potrebbe essere solo un bug in una versione della shell Gradle o in Artifactory? Potrebbe essere un malware collegato?

    
posta Tilo 28.02.2014 - 20:19
fonte

1 risposta

4

Codehaus è stato violato, quindi repo.grails.org che lo ha generato, si stava riempiendo di merda. Lo abbiamo ripulito, rafforzato la politica di checksum per fallire il recupero se non esiste un checksum valido nel repository remoto (codehaus) e abilitato la convalida dell'integrità dei file jar.

    
risposta data 28.02.2014 - 21:22
fonte

Leggi altre domande sui tag