Gradle verschärft die Richtlinien für Plug-ins

Aus Sicherheitsgründen testet Gradle neue Einträge im Plug-in-Portal unter anderem auf gültige URLs und Beschreibungen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Die Betreiber des Gradle-Plug-in-Portals wollen mit aktualisierten Richtlinien für das Aufnehmen neuer Erweiterungen die Sicherheit erhöhen und irreführende Erweiterungen verhindern. Die Änderung betrifft jedoch lediglich neue Einreichungen, schon damit Build-Prozesse, die bereits vorhandene Plug-ins verwenden, weiterhin reibungslos funktionieren.

Konkret überprüft Gradle für jeden Neueintrag auf plugins.gradle.org, ob die Beschreibung und die URL gültig und nicht irreführend sind. Dasselbe gilt für die Werte groupId und artifactId. Neue Versionen von Plug-ins, die bereits im Portal existieren sind davon aktuell nicht betroffen. Langfristig plant Gradle jedoch, für alle Plug-ins, die nicht den Vorgaben entsprechen, zunächst Warnungen anzuzeigen.

Für den Genehmigungsprozess bevorzugen die Betreiber laut dem Gradle-Blog quelloffene Projekte, genauer Plug-ins mit einer gültigen URL eines Open-Source-Repositories. Plug-ins mit einer SPDX-konformen Lizenz (Software Package Data Exchange) erhalten die höchste Priorität.

Entwickler von Plug-ins, die den Ansprüchen nicht genügen, erhalten die Gelegenheit, die Erweiterung den Richtlinien entsprechend anzupassen und erneut einzureichen. Falls die Anpassung nicht möglich ist, müssen sie auf ein anderes Repository ausweichen. (rme)