Если Maven Central использовал https для скачивания артефактов, нужна ли проверка артефактов?

Question

Из того, что я читаю, лучше всего проверить подлинность артефакта, полученного из Центра, с помощью открытого ключа автора библиотеки, чтобы предотвратить атаки типа «человек в середине» и тому подобное. Это похоже на такой громоздкий процесс, и похоже, что другие сообщества, такие как ruby ​​с репозиторием rubygems, решили это, используя https при доступе к репозиторию.

Если Maven Central Repository использует https, это устранит необходимость проверки артефактов? Если да, то почему Central не использует https?

Answer 1

Соединение https гарантирует, что вы подключены к реальному Центральному, но ничего не говорится о том, откуда взялись артефакты. Эти артефакты загружаются большим количеством разработчиков. Если кто-то из них украл свой пароль, вредоносные артефакты могут быть загружены. PGP предлагает два дополнительных качества: во-первых, сложнее украсть ключ PGP, чем украсть пароль. Во-вторых, в случае нарушения безопасности ключ PGP может быть отозван.

Конечно, вы не обращаетесь непосредственно к Центру - вы идете через локальный прокси. Использование PGP означает, что вам не нужно доверять этому прокси, и вы можете сами проверить подписи PGP.

В качестве дополнительной защиты для обеспечения безопасности в SSL доступ к центральному составляет, для небольшого платежа-токена: https://blog.sonatype.com/people/2012/10/now-available-ssl-connectivity-to-central/.