使用SHA-256，您的安全存储库变得更安全

Artifactory从头开始进行了独特的设计，以优化管理二进制文件，并能够有效地支持任何格式的包。实现这种灵活性的关键特性之一是Checksum-Based存储．的几个选项之一中存储和管理所有工件文件二进制存储在Artifactory的支持下，文件的元数据，包括校验和，都保存在Artifactory的文件中数据库．Artifactory使用工件的SHA1值作为文件在二进制存储中的物理位置的映射。这允许对文件的许多操作(如复制、移动、删除等)作为数据库事务执行，从而使它们具有很高的性能。但是这些校验和还扮演着另一个重要的角色。它们是验证所下载工件完整性的一种方式。这几年来一直有效，但最近，谷歌宣布有史以来第一次成功的SHA1碰撞(也就是说，他们设法用相同的SHA1摘要创建了两个不同的文件。)但是不要担心，您的Artifactory存储库是安全的。我们很高兴地宣布，新发布的JFrog Artifactory 5.5本机支持SHA-256校验和，使您的存储库更加安全。

对SHA-256的本地支持为二进制构件提供了更安全的环境，并支持需要更强的SHA-256来验证文件完整性的工具。随着加密技术与计算能力的进步，我们认识到需要支持SHA-256，为客户努力生产的二进制文件提供更安全的环境。

SHA1有什么问题?

SHA-1获取任何文件的内容并计算一个160位的哈希值(基本上是一长串数字和字母)，作为该特定文件的加密指纹。

随着密码学研究与计算能力的进步，来自谷歌和阿姆斯特丹CWI研究所的研究人员设法用相同的SHA1哈希创建了两个文件——这就是我们所说的碰撞攻击。

碰撞攻击意味着一个文件可以冒充另一个文件，这就为不同的安全漏洞提供了可能性，比如伪造数字签名文件或HTTPS证书。在Artifactory的上下文中，一个工件理论上可以模拟另一个工件，这意味着您期望下载一个工件，但得到的却是其他东西。

进入sha - 256

SHA-256哈希比SHA1强得多，消除了冲突的风险。我们觉得我们必须提供这种能力，让我们的客户对Artifactory提供的安全措施充满信心。

防弹你的文物

为了降低SHA1碰撞攻击的风险，您可以迁移到SHA-256，这正是Artifactory 5.5允许您做的。通过升级到5.5版本，您可以将数据库迁移到使用SHA-256校验和，使您的存储库更加安全，因为没有人能够模拟您的工件。

如果你正在运行Artifactory OSS或Artifactory Pro，你可以继续升级到最新版本．

如果您正在运行Artifactory Enterprise HA集群，则这种更复杂的设置具有特殊升级说明．一定要认真遵守这些说明。

但也要注意，升级到5.5意味着Artifactory将能够计算SHA-256校验和，事实上，任何上传到存储库的新工件都将自动计算它们的SHA-256校验和。要计算所有现有工件的SHA-256校验和，您需要迁移数据库，但不要担心，我们会向您详细说明怎么做呢．

展望未来

增加对SHA-256校验和的支持是一个巨大的进步，因为即使谷歌和公司破解了SHA1, Artifactory仍然可以100%保证你下载的工件确实是你想要的，而且它是目前唯一的repository manager可以这样做。但这只是第一步。接下来，我们还将把二进制存储迁移到基于SHA2的基础上，将Artifactory的安全性提升到一个新的水平。