Sécuriser JCenter avec HTTPS

MISE À JOUR : À compter du 1er mai 2021, les services Bintray ne seront plus disponibles (ConanCenter et JCenter ne sont pas concernés). Pour en savoir plus, lisez le blog sur la dépréciation des centres

 

Utilisez-vous Bintray JCenter pour rechercher et partager des packages de langages OSS JVM publics ? Si c'est le cas, voici quelques informations cruciales pour que vos builds continuent à fonctionner sans interruption.

À partir de janvier 2020, JCenter traitera uniquement les requêtes effectuées avec HTTPS. Ensuite, toutes les requêtes effectuées avec HTTP seront refusées et tous les builds qui utilisent une URL JCenter avec le protocole HTTP non sécurisé échoueront.

Le TL;DR ? Mettez à jour vos outils avec une URL qui utilise HTTPS dès que possible. C'est tout ce que vous devez faire pour vous assurer que tous vos builds continueront à fonctionner sans problème avec JCenter. 

Pour faciliter la transition pour les utilisateurs de JCenter, la modification se déroule en deux phases :

Quand Ce qui change
1er octobre 2019 Les requêtes HTTP adressées à JCenter seront automatiquement redirigées vers HTTPS.
13 janvier 2020 Les requêtes HTTP adressées à JCenter seront rejetées. Seul HTTPS sera pris en charge.

 

Si vous voulez en savoir plus, voici quelques réponses aux questions que vous pourriez vous poser :

JCenter ? Qu'est-ce que c'est ?

JCenter est un dépôt central sur la Plateforme JFrog Bintray pour trouver et partager des packages de langages JVM populaires au format Maven, utilisés par Maven, Gradle, Ivy, SBT et d'autres. JCenter est la source la plus complète de packages Maven OSS, hébergeant plus de 340 000 packages publics.

La prise en charge du protocole HTTPS est-elle une nouveauté ?

La prise en charge du protocole HTTPS sur JCenter n’est pas une nouveauté. JCenter a pris en charge le protocole HTTPS sécurisé dès le premier jour et il a toujours été le protocole de transport recommandé pour accéder à n’importe quel dépôt sur Bintray. La prise en charge du protocole HTTPS est l'une des nombreuses composantes de l'engagement de JFrog en faveur de l'intégrité du contenu. Nous avons également autorisé l’accès à l’aide du protocole HTTP, mais ce ne sera bientôt plus possible.

Pourquoi m'obligez-vous à changer ?

Parce que nous nous soucions de votre sécurité. HTTP est un protocole de transfert non chiffré qui est vulnérable aux écoutes illicites et aux falsifications. Particulièrement importants pour les utilisateurs de JCenter, les transferts HTTP permettent des attaques de « l’homme du milieu » qui peuvent être effectuées sur des artefacts JAR. En tant que protocole qui utilise des transmissions chiffrées bidirectionnelles, HTTPS fournit un niveau de protection crucial.

J’utilise déjà HTTPS. Que dois-je faire ?

Si vos URL utilisent déjà HTTPS, vous n’avez rien à faire. Félicitez-vous pour les bonnes pratiques de sécurité, mais n'oubliez pas que le protocole HTTPS ne suffit pas !

J’utilise HTTP, mais mes outils prennent en charge les redirections. Que dois-je faire ?

Vous devez tout de même mettre à jour vos URL pour utiliser HTTPS dès que possible. 

Si vous en oubliez certaines, vous pourrez toujours le faire après le premier changement en octobre. Après le 1er octobre, recherchez les messages de redirection dans vos journaux, pour trouver tous les endroits où vous devez passer au protocole HTTPS avant la fin de l'année. Après le 13 janvier, vos builds échoueront pour toutes les URL que vous n’avez pas mises à jour.

J’utilise HTTP et mes outils ne prennent pas en charge les redirections. Que dois-je faire ?

Mettez à jour vos URL pour utiliser HTTPS immédiatement. Si vous ne le faites pas et que vos outils ne prennent pas en charge les redirections, vos builds échoueront à partir d’octobre.

JCenter semble assez intéressant. Comment puis-je en savoir plus sur lui ?

JCenter est très intéressant ! C'est l’un des hubs Maven les plus populaires et un excellent moyen de distribuer des bibliothèques Android et de présenter vos packages Maven à un très large public. Vous pouvez en savoir plus sur l’inclusion de vos packages dans JCenter en consultant le Guide Utilisateur Bintray. JCenter est un dépôt organisé avec un contenu approuvé, vous devez être un utilisateur enregistré avant de pouvoir lier votre package à JCenter.