在maven环境下来使用bitconinj

发表于
Maven是Apache的一个基于插件的构建系统。 它支持各种其他功能,例如自动为您的项目创建网站并解决依赖关系。

Maven构建

如果你使用的是Maven来管理你的项目,您可以在pom.xml中添加一下依赖来引入bitconinj:

1
2
3
4
5
6
7
8
<dependencies>
    <dependency>
      <groupId>org.bitcoinj</groupId>
      <artifactId>bitcoinj-core</artifactId>
      <version>0.14.7</version>
      <scope>compile</scope>
    </dependency>
</dependencies>

或者你可以使用git来clone下它的源码在本地编译:

1
2
3
4
5
git clone https://github.com/bitcoinj/bitcoinj.git
cd bitcoinj
git fetch --all
git checkout v0.14.7
mvn install

本教程我们使用目前0.14.7的最新版本

注意:如果您使用的是OpenJDK,则可能需要为操作系统再安装的OpenJFX支持软件包。 例如,如果您正在运行Ubuntu 15.10并使用openjdk-8-jdk,则还需要安装openjfx软件包。 这可以通过诸如sudo apt-get install openjfx之类的命令来完成安装

Maven安全

Maven Central是一个非常不安全的基础服务。如果你只是自己学习研究下bitcoinj,那么这可能不是什么大不了的事情,但如果你真的是在公司企业中进行开发,并打算将其应用程序发布给真实用户使用的情况下,构建安全性就变得尤其重要。按照下面这些提示,Maven可以变得更加安全。

首先,使用Maven 3.2.3或更高版本。从2014年9月开始,Maven Central支持SSL,但之前的版本不支持SSL。这意味着任何依赖关系库的下载都可以由本地网络上的任何人,轻易地进行暗箱后台操作,并且实际上存在使概念验证这一点变得简单的漏洞。因此,使用默认使用SSL的Maven是必需的。这意味着:是从Apache网站下载Maven。

其次,不要在你的Linux发行版中使用Maven。 Linux发行商喜欢以各种方式篡改Maven,这可能会导致问题,因此请抓住干净的上游版本而不是使用apt-get。

第三,使用依赖验证器。 Maven Central很方便,但它没有实现比密码认证更强大的功能。这意味着如果开发人员帐户遭到黑客入侵,那么上传的虚假JAR是非常有可能的。 bitcoinj在它的POM中有一个硬编码的依赖哈希列表,你可以使用相同的Maven插件修复你自己的依赖关系(包括bitcoinj)的哈希值:

https://github.com/gary-rowe/BitcoinjEnforcerRules

要检查您是否拥有正确版本的执行者插件,请运行:

1
2
$ shasum ~/.m2/repository/uk/co/froot/maven/enforcer/digest-enforcer-rules/0.0.1/digest-enforcer-rules-0.0.1.jar
16a9e04f3fe4bb143c42782d07d5faf65b32106f

并验证输出匹配。