有了SHA-256，你的安全仓库变得更安全了

Artifactory从一开始就进行了独特的设计，以优化管理二进制文件，并能够有效地支持任何格式的包。支持这种灵活性的一个关键特性是Checksum-Based存储．当所有的工件文件都存储和管理在几个选项中的一个二进制存储在Artifactory的支持下，文件的元数据，包括校验和，都维护在Artifactory的中数据库．Artifactory使用工件的SHA1值作为到文件在二进制存储中的物理位置的映射。这允许对文件的许多操作(如复制、移动、删除等)作为数据库事务执行，从而使它们具有很高的性能。但是这些校验和也扮演着另一个重要的角色。它们是验证下载的任何工件完整性的一种方法。这已经奏效了好几年，但最近，谷歌宣布了SHA1的首次成功碰撞(也就是说，他们设法用相同的SHA1摘要创建了两个不同的文件。)但是不要担心，您的Artifactory存储库是安全的。我们很高兴地宣布，新发布的JFrog Artifactory 5.5本机支持SHA-256校验和，使您的存储库更加安全。

对SHA-256的本机支持为二进制工件提供了更安全的环境，并支持需要更强的SHA-256来验证文件完整性的工具。随着加密技术随着计算能力的进步而进步，我们认识到有必要支持SHA-256，为我们的客户努力生产的二进制文件提供更安全的环境。

SHA1有什么问题?

SHA-1获取任何文件的内容，并计算一个160位的哈希值(基本上是一长串数字和字母)，作为该特定文件的加密指纹。

随着密码学研究的进步和计算能力的提高，来自阿姆斯特丹谷歌和CWI研究所的研究人员成功地创建了两个具有相同SHA1散列的文件——这就是我们所说的碰撞攻击。

冲突攻击意味着一个文件可以冒充另一个文件，为不同的安全漏洞提供了可能性，例如伪造数字签名文件或HTTPS证书。在Artifactory的上下文中，一个工件理论上可以模拟另一个工件，这意味着您希望下载一个工件，但得到其他东西。

进入sha - 256

SHA-256哈希比SHA1强得多，消除了碰撞的风险。我们认为我们必须提供这种能力，以使我们的客户对Artifactory提供的安全措施有充分的信心。

给你的藏物防弹

为了减少SHA1碰撞攻击的风险，您可以迁移到SHA-256，这正是Artifactory 5.5允许您做的。通过升级到5.5版本，您可以将数据库迁移到使用SHA-256校验和，从而使存储库更加安全，因为没有人能够模拟您的工件。

如果您正在运行Artifactory OSS或Artifactory Pro，您可以直接升级到这个最新版本．

如果您正在运行一个Artifactory Enterprise HA集群，那么这个更复杂的设置有特殊升级说明．一定要认真按照这些说明去做。

但是也要注意，升级到5.5意味着Artifactory将能够计算SHA-256校验和，事实上，任何上传到存储库的新工件都将自动计算它们的SHA-256校验和。要计算所有现有工件的SHA-256校验和，您需要迁移数据库，但是不要担心，我们会详细地向您展示怎么做呢?．

展望未来

添加对SHA-256校验和的支持是一个巨大的步骤，因为即使在谷歌和公司破解了SHA1之后，Artifactory仍然可以提供100%的保证，您下载的工件确实是您需要的工件，而且它是目前唯一的repository manager这是可以做到的。但这只是第一步。接下来，我们还将迁移我们的二进制存储以基于SHA2，将Artifactory的安全性提升到一个新的水平。