Есть ли способ использовать Maven (или плагин) для предоставления информации о целостности используемых зависимостей и плагинов (ha sh и размеров файлов), чтобы проверить, что загруженные артефакты имеют размер git и не были подделаны?
Похоже, что существует плагин для Gradle, но я не проверял его: https://github.com/vlsi/vlsi-release-plugins/tree/master/plugins/checksum-dependency-plugin
Причина, по которой я спрашиваю, заключается в том, что иногда вы используете другие репозитории чем central , и этот репозиторий может содержать вредоносные артефакты. Случай, когда это произошло, описан здесь .
Редактировать: Чтобы уточнить:
- Настройка собственного репозитория не вариант, потому что это не корпоративный окружение, но проект с открытым исходным кодом.
- Эти репозитории, отличные от central , должны использоваться, поскольку рассматриваемые артефакты не загружаются в central . И только установка артефактов в локальный репозиторий затруднит использование проекта другими.