1

我使用播放框架的內置扶養管理下載庫(的HtmlUnit),要做到這一點,我的扶養添加到build.sbt文件像這樣:如何在Play Framework中防止交叉構建注入和其他依賴管理威脅?

libraryDependencies += "net.sourceforge.htmlunit" % "htmlunit" % "2.20"

的扶養然後使用Apache下載常春藤(通過sbt),當我建立項目。

我如何知道下載的依賴性是它所說的,並確保它不包含惡意代碼?

回答

0

與其他系統完全相同:

1)不要使用自動建築。您可以下載所有庫,驗證它們並將它們放入「lib」文件夾中。

2)使用本地(或內部組織服務器)存儲庫。您需要按照步驟「1」來下載和檢查每個依賴項,但是您將它們放入本地存儲庫並將此存儲庫作爲源存儲庫添加到構建中。

請參閱本文檔的更詳細的解釋https://www.fortify.com/downloads2/public/fortify_attacking_the_build.pdf

這是很老,但看起來是正確的。

+0

感謝您的回覆,我如何驗證依賴性? HTMLUnit在[source forge](https://sourceforge.net/projects/htmlunit/files/htmlunit/)上可用,如果我從這裏下載它並將它放在lib文件夾中,那麼我如何確保手動下載的文件是真實?另外,閱讀這樣的東西似乎會讓我遠離源碼僞造:[警告:不要從SourceForge下載軟件,如果您可以幫助它](http://www.howtogeek.com/218764/warning-don%E2% 80%99t-download-software-from-sourceforge-if-you-can-help-it /) – DominoSug

+0

簡而言之:您直到測試由您自己的(您的安全部門)下載lib時才能確定。所以 - 如果你是一個小項目,比如1-30人,那麼只需要信任maven,或者如果你是一個大項目,並且你需要100%的安全性,你就可以使用(如數百萬) - 你需要分配幾個人來檢查每個庫您使用可疑代碼,然後將它們放入安全的Intranet存儲庫。請閱讀我鏈接的文件。它包含對您的問題的廣泛答案。 –

相關問題