Gradle保镖 这是什么? 完整的博客文章即将发布。 敬请期待! 是现实,JVM生态系统并不安全。 有多种工具可帮助基于JVM的语言的开发人员防御供应链攻击,例如 , , 等。 但是,当特别谈论Gradle项目时,事情开始变得有些棘手,因为(但不仅限于): 我们不仅对我们的项目声明的依赖项感兴趣,而且对可传递的依赖项(实际上,可传递的依赖关系是这里的主要攻击媒介)感到迷惑; Gradle项目(尤其是多模块通过 API或管理依赖项是很常见的。 在这两种情况下,诸如Dependabot之类的工具(会解析您的Gradle文件以找出依赖关系)会感到困惑或最终找不到依赖关系。 这类工具