问针对供应链攻击的安全Nexus

EN

我们从一个可公开访问的reprepro Debian包存储库(由Apache web服务器驱动)切换到Sonatype Nexus repository OSS，这是一款很棒的软件。但是我们遇到了一个问题:当有人上传Debian包时，它是在Nexus服务器上签名的，我们将它公开给我们的客户/互联网。此外，Nexus知道GPG密钥和密码用于包签名。

换句话说:我害怕类似的情况，比如SolarWinds供应链攻击。场景: Person攻击可公开访问的Nexus服务器/Nexus本身，接管Nexus，更改现有包并使用GPG密钥/GPG密码来重新设置它们。然后，恶意代码将提供给我们的客户。

我考虑将文件blob存储目录作为只读目标公开给公开的web服务器，并将Nexus公司保持在内部。遗憾的是，内部文件blob存储布局是不同的，所以这是不可能的。

所以我的问题是：

• 是否有一种很好的方式以Deb/RPM/Docker/等兼容格式公开blob存储，该格式可由更受保护、可公开访问的Apache服务器提供，并由dpkg/yum/dnf/Docker等库用户使用？

。

• ，我还想到了第二个只读Nexus服务器，它每10分钟左右进行一次rsync。然后攻击者将接管此服务器，但是包签名检查(至少对DEB/RPM)会阻止被篡改的包

的安装。

• 使用Apache反向代理进行基于证书的身份验证(我猜这是最安全但最复杂的解决方案)

但是也许已经有了这样的特性/另一种方式，而我只是在文档中漏掉了它？