Gradle verschärft die Richtlinien für Plug-ins
Aus Sicherheitsgründen testet Gradle neue Einträge im Plug-in-Portal unter anderem auf gültige URLs und Beschreibungen.
- Rainald Menge-Sonnentag
Die Betreiber des Gradle-Plug-in-Portals wollen mit aktualisierten Richtlinien für das Aufnehmen neuer Erweiterungen die Sicherheit erhöhen und irreführende Erweiterungen verhindern. Die Änderung betrifft jedoch lediglich neue Einreichungen, schon damit Build-Prozesse, die bereits vorhandene Plug-ins verwenden, weiterhin reibungslos funktionieren.
Konkret überprüft Gradle für jeden Neueintrag auf plugins.gradle.org, ob die Beschreibung und die URL gültig und nicht irreführend sind. Dasselbe gilt für die Werte groupId und artifactId. Neue Versionen von Plug-ins, die bereits im Portal existieren sind davon aktuell nicht betroffen. Langfristig plant Gradle jedoch, für alle Plug-ins, die nicht den Vorgaben entsprechen, zunächst Warnungen anzuzeigen.
Überholspur für passende Lizenzen
Für den Genehmigungsprozess bevorzugen die Betreiber laut dem Gradle-Blog quelloffene Projekte, genauer Plug-ins mit einer gültigen URL eines Open-Source-Repositories. Plug-ins mit einer SPDX-konformen Lizenz (Software Package Data Exchange) erhalten die höchste Priorität.
Entwickler von Plug-ins, die den Ansprüchen nicht genügen, erhalten die Gelegenheit, die Erweiterung den Richtlinien entsprechend anzupassen und erneut einzureichen. Falls die Anpassung nicht möglich ist, müssen sie auf ein anderes Repository ausweichen. (rme)