修复当 TLS v1.1 和 v1.0 支持停止时 Gradle 依赖解析问题
引言
Maven Central 和 Bintray 已宣布将停止支持 TLS v1.1 及以下版本。如果您受到影响,以下是您需要了解的,以更正您的 Gradle 构建。
如果您正在使用 Java 6 或 7,并且使用 Gradle 2.1 到 4.8 版本,则需要采取行动。
如何检查您是否受到影响 #
您可能已经在构建中收到以下错误之一,错误消息显示:“无法解析 [坐标]”
收到致命警报:protocol_version
或
对等方未认证
如果不是,您可以通过运行以下命令来检查您是否会受到影响
gradle --version # Without Gradle Wrapper
./gradlew --version # Using Gradle Wrapper on *nix
gradlew.bat --version # Using Gradle Wrapper on Windows
它将打印如下内容
------------------------------------------------------------
Gradle 3.5
------------------------------------------------------------
Build time: 2017-04-10 13:37:25 UTC
Revision: b762622a185d59ce0cfc9cbc6ab5dd22469e18a6
Groovy: 2.4.10
Ant: Apache Ant(TM) version 1.9.6 compiled on June 29 2015
JVM: 1.7.0_80 (Oracle Corporation 24.80-b11)
OS: Mac OS X 10.13.5 x86_64
如果所有这些条件都成立,您必须采取行动
- JVM 版本是 Java 7u130 或更低
- 并且 Gradle 版本在 2.1 到 4.8 之间(含)
- 并且 您已声明了
mavenCentral()或jcenter()的repository {}
如何使用 TLS 1.2 进行依赖解析 #
您可以采取以下任何一项措施来使用 TLS v1.2+
- 使用 Java 1.7.0_131-b31 或更高版本运行 Gradle
- 或 升级到 Gradle 4.8.1 或更高版本
- 或 将
mavenCentral()替换为maven { url = "http://repo.maven.apache.org/maven2" },并将jcenter()替换为maven { url = "http://jcenter.bintray.com" }
建议使用前两种解决方案,因为第三种解决方案会带来可能的攻击向量。
其他资源 #
Maven Central 和 Bintray 知识库中关于停止支持旧版本 TLS 的文章解释了这些更改的必要性背景。
您还可以在 GitHub 上的 gradle/gradle#5740 中找到特定于 Gradle 的详细信息。