¿Por qué las personas confían en la administración de dependencias de PlayFramework2?

0

Si trabajara en una gran empresa que era muy consciente de la seguridad, ¿construiría un producto basado en PlayFramework2 debajo? Dado que realiza una resolución de dependencia automática en el momento de la carga, ¿no confía usted en una fuente posiblemente no confiable de bibliotecas actualizadas?

¿Por qué confiarías en eso? ¿Cómo sabes que las bibliotecas que está descargando de la naturaleza son seguras? ¿No sería posible que un pirata informático pusiera en peligro la fuente de las bibliotecas e inyectara un código desconocido en ella?

    
pregunta slashdottir 07.08.2014 - 16:17
fuente

1 respuesta

2

Misconcepciones

Play Framework 2 no tiene su propia administración de dependencias o repositorios, usa SBT, que a su vez usa el repositorio de Maven Central , que es donde viven prácticamente todos los paquetes de Java.

Con respecto a la descarga en carga, esto no sucede. No se descargan bibliotecas cuando ejecuta una aplicación creada con SBT. Las bibliotecas se descargan cuando crea el proyecto con SBT . Generalmente solo una vez, después de lo cual SBT guarda las bibliotecas en (predeterminado para Maven) ~/.m2/repositories .

Confiando en Maven Central

Maven Central tiene algunos requisitos de seguridad:

  

Para mejorar la calidad del repositorio de Central Maven, le pedimos que proporcione firmas PGP para todos sus artefactos (todos los archivos excepto sumas de comprobación), y distribuya su clave pública a un servidor de claves como enlace .

Lo que significa que puedes verificar si una entidad en la que confías carga algo.

  

Solo las versiones se pueden cargar en el repositorio central, lo que significa que los archivos no cambiarán y que solo dependen de otros archivos ya publicados y disponibles en el repositorio.

Esto básicamente significa que si un usuario de Maven Central se "piratea", nadie puede reemplazar las bibliotecas que el usuario lanzó. Solo podrían lanzar versiones más nuevas, que, a menos que esté utilizando comodines de versión de dependencia, su software permanecerá seguro.

Repositorios personalizados

Hay un montón de repositorios alternativos (es decir, JBoss '), pero lo más importante es que también puedes usar una herramienta como Nexus de Sonatype para ser tu propio repositorio Maven. Si realmente desea asegurarse de que no haya nada malicioso, puede configurar un Nexus de la empresa y cargar solo bibliotecas confiables verificadas.

Línea inferior

Se parece bastante a cualquier administrador de paquetes o repositorio de software , y depende completamente de usted si confía en la gente que lo respalda . En mi opinión, es mucho más seguro que descargar bibliotecas de Internet usted mismo.

    
respondido por el Philipp 07.08.2014 - 18:50
fuente

Lea otras preguntas en las etiquetas