Несколько рекомендаций, которые помогут обеспечить безопасность при работе с Gradle Wrapper:

• Проверять целостность зависимостей. 1 Для этого можно использовать встроенную функцию Gradle Dependency Insight для анализа зависимостей проекта или блокировку зависимостей, чтобы они не обновлялись автоматически без должной проверки. 1
• Использовать инструменты сканирования зависимостей. 1 Они автоматически проверяют зависимости на наличие известных уязвимостей. 1 Например, OWASP Dependency-Check. 1
• Безопасное управление учётными данными. 1 Не следует жестко кодировать чувствительную информацию, такую как ключи API или пароли, в скриптах сборки. 1 Лучше хранить её в gradle.properties или переменных среды. 1
• Использовать подписание кода. 1 Это гарантирует, что в сборку не вмешались. 1 Следует развёртывать только приложения, подписанные доверенным ключом. 1
• Минимизировать внешние зависимости. 1 По возможности следует сокращать их количество, чтобы уменьшить поверхность для атак. 1
• Регулярно проводить аудит. 1 Следует регулярно проверять настройку проекта и зависимости, чтобы убедиться в соответствии стандартам безопасности. 1

Также для проверки целостности Gradle Wrapper можно использовать GitHub Action, который автоматически проверяет бинарники Wrapper JAR в pull-запросах по списку известных корректных контрольных сумм. 45