1
我使用播放框架的內置扶養管理下載庫(的HtmlUnit),要做到這一點,我的扶養添加到build.sbt文件像這樣:如何在Play Framework中防止交叉構建注入和其他依賴管理威脅?
libraryDependencies += "net.sourceforge.htmlunit" % "htmlunit" % "2.20"
的扶養然後使用Apache下載常春藤(通過sbt),當我建立項目。
我如何知道下載的依賴性是它所說的,並確保它不包含惡意代碼?
感謝您的回覆,我如何驗證依賴性? HTMLUnit在[source forge](https://sourceforge.net/projects/htmlunit/files/htmlunit/)上可用,如果我從這裏下載它並將它放在lib文件夾中,那麼我如何確保手動下載的文件是真實?另外,閱讀這樣的東西似乎會讓我遠離源碼僞造:[警告:不要從SourceForge下載軟件,如果您可以幫助它](http://www.howtogeek.com/218764/warning-don%E2% 80%99t-download-software-from-sourceforge-if-you-can-help-it /) – DominoSug
簡而言之:您直到測試由您自己的(您的安全部門)下載lib時才能確定。所以 - 如果你是一個小項目,比如1-30人,那麼只需要信任maven,或者如果你是一個大項目,並且你需要100%的安全性,你就可以使用(如數百萬) - 你需要分配幾個人來檢查每個庫您使用可疑代碼,然後將它們放入安全的Intranet存儲庫。請閱讀我鏈接的文件。它包含對您的問題的廣泛答案。 –