Perché la gente si fida della gestione delle dipendenze di PlayFramework2?

0

Se lavoravi in una grande azienda molto attenta alla sicurezza, costruiresti un prodotto basato su PlayFramework2 sotto? Dal momento che risolve automaticamente le dipendenze al momento del caricamento, non stai riponendo molta fiducia in qualche fonte inaffidabile di librerie aggiornate?

Perché ti fideresti? Come fai a sapere che le librerie che sta scaricando dal sito sono sicure? Non sarebbe possibile per un hacker compromettere la fonte delle librerie, inserendovi un codice sconosciuto?

    
posta slashdottir 07.08.2014 - 16:17
fonte

1 risposta

2

Fraintendimenti

Play Framework 2 non ha una propria gestione delle dipendenze o repository, utilizza SBT che a sua volta utilizza il repository Maven Central esistente , che è dove praticamente tutti i pacchetti Java vivono.

Per quanto riguarda il download al caricamento, questo non succede. Nessuna libreria viene scaricata quando si esegue un'applicazione creata con SBT. Le librerie vengono scaricate quando si crea il progetto con SBT . Solitamente una sola volta, dopo di che SBT salva le librerie in (predefinito per Maven) ~/.m2/repositories .

Fidati di Maven Central

Maven Central ha alcuni requisiti per la sicurezza:

To improve the quality of the Central Maven repository, we require you to provide PGP signatures for all your artifacts (all files except checksums), and distribute your public key to a key server like http://pgp.mit.edu.

Significa che puoi verificare se qualcosa è stato caricato da un'entità di cui ti fidi.

Only releases can be uploaded to the central repository, that means files that won't change and that only depend on other files already released and available in the repository.

Questo in pratica significa che se un utente di Maven Central viene "hackerato", nessuno può sostituire alcuna libreria rilasciata dall'utente. Potrebbero solo rilasciare le versioni più recenti, che a meno che non utilizzi i caratteri jolly della versione di dipendenza, il tuo software rimarrà al sicuro.

Archivi personalizzati

C'è un mucchio di repository alternativi (ad es. JBoss '), ma soprattutto puoi anche usare uno strumento come Nexus di Sonatype essere il tuo repository di Maven. Se vuoi davvero essere sicuro che non accada nulla di malvagio, puoi creare una società Nexus e caricare solo le librerie attendibili verificate.

Bottom line

È praticamente come qualsiasi gestore di pacchetti o repository di software , e completamente a te se ti fidi delle persone dietro . A mio parere è molto più sicuro che scaricare da solo le librerie da Internet.

    
risposta data 07.08.2014 - 18:50
fonte

Leggi altre domande sui tag