Gradle Witness 使用教程

Gradle Witness 使用教程

gradle-witnessA gradle plugin that enables static verification for remote dependencies.项目地址:https://gitcode.com/gh_mirrors/gr/gradle-witness

项目介绍

Gradle Witness 是一个 Gradle 插件，旨在为远程依赖项提供静态验证。通过该插件，可以在构建过程中验证所有列出的依赖项是否具有指定的 SHA-256 校验和。如果校验和不匹配，构建将被中止，从而确保依赖项的完整性和安全性。

项目快速启动

安装 Gradle Witness

1. 克隆项目仓库：

   git clone https://github.com/signalapp/gradle-witness.git
   

2. 构建项目：

   cd gradle-witness
   gradle build
   

3. 将生成的 JAR 文件复制到你的项目中：

   cp build/libs/gradle-witness.jar /path/to/your/project/libs/gradle-witness.jar
   

4. 在你的项目 build.gradle 文件中添加 Gradle Witness 依赖：

   buildscript {
       repositories {
           mavenCentral()
       }
       dependencies {
           classpath 'com.android.tools.build:gradle:0.9+'
           classpath files('libs/gradle-witness.jar')
       }
   }
   
   apply plugin: 'witness'
   

配置依赖项验证

1. 使用 Gradle Witness 计算所有依赖项的 SHA-256 校验和：

   gradle -q calculateChecksums
   

2. 将生成的校验和定义添加到 build.gradle 文件中：

   dependencyVerification {
       verify = [
           'com.actionbarsherlock:actionbarsherlock:4.4.0@aar': 'sha256-hash',
           'com.android.support:support-v4:19.0.1': 'sha256-hash',
           'com.google.android.gcm:gcm-client:1.0.2': 'sha256-hash',
           'se.emilsjolander:stickylistheaders:2.2.0': 'sha256-hash'
       ]
   }
   

应用案例和最佳实践

应用案例

Gradle Witness 主要用于确保 Android 项目的依赖项安全。例如，Signal 应用使用 Gradle Witness 来防止依赖项被篡改，从而保护用户数据的安全。

最佳实践

1. 定期更新校验和：定期运行 calculateChecksums 任务，以确保校验和是最新的。
2. 自动化校验和更新：将校验和更新流程集成到 CI/CD 流程中，以实现自动化。
3. 严格控制依赖项：仅使用可信的依赖项，并定期审查依赖项列表。

典型生态项目

Gradle Witness 与以下项目和工具紧密集成：

1. Android Gradle Plugin：用于构建 Android 应用。
2. Maven Central：用于管理依赖项。
3. CI/CD 工具：如 Jenkins、Travis CI 等，用于自动化构建和验证流程。

通过这些集成，Gradle Witness 可以更好地确保项目的安全性和可靠性。

gradle-witnessA gradle plugin that enables static verification for remote dependencies.项目地址:https://gitcode.com/gh_mirrors/gr/gradle-witness