3
一般來說,是否應該只將中央Maven倉庫添加到pom.xml +可選的本地Maven倉庫?理論上(我認爲?)任何人都可以建立一個存儲庫 - 有沒有'Maven Repository < - > Maven Repository'的信任圈?我需要小心哪些Maven倉庫掛鉤進入?
我怎麼知道我真的下載(說)log4j編譯的JAR,而不是一些混蛋/邪惡的版本?
A
回答
1
很少有事情可以做,感覺很舒服:
- 使用,如Nexus或JFrog和代理要使用任何存儲庫的本地存儲庫經理。這方面的好處很少:
- 本地經理可以跟蹤SHA散列,以確保罐子在您的腳下沒有變化。
- 您可以限制開發人員可以訪問的存儲庫。
- 堅持使用Maven Central,你可以 - 很多人使用它,如果有人用不可靠的東西切換log4j版本,每個人都會很快知道(因爲哈希不會排隊)。一般來說,這個論點也適用於其他任何存放流行庫的庫(例如sourceforge,google code,codehaus等)
- 如果你使用一些花花公子的repo來編寫一些不是庫的庫非常流行在野外。實際上這很少發生。在這些情況下,也許你可以自己構建代碼來確保。
1
最佳實踐不是將任何存儲庫添加到pom.xml中。最好的解決方案是將其配置到settings.xml中,或者最好的解決方案是使用存儲庫管理器。此外,如果你沒有repo管理器,最好的辦法是使用maven central,但爲此你不需要配置任何東西,因爲Maven本身就是默認的。 Maven Central是由Sonatype的用戶控制管理的,Maven Central並不是那麼簡單。你可以做些什麼來保證運輸更安全一些,就是打開由configuration in the settings.xml控制的校驗和檢查。
相關問題
- 1. 在Windows 8上掛鉤筆事件我需要做些什麼?
- 2. 需要在Windows上實現SVN掛鉤
- 3. 用於分支共享庫的倉庫佈局(或掛鉤)
- 4. Spring 3.1.0.RC1 - 哪個maven倉庫?
- 5. Maven倉庫中的quartz-1.6.5在哪裏?
- 6. 我很擔心AWS CodeBuild。哪些IAM角色是需要的?
- 7. Maven倉庫
- 8. TinyRadius Maven倉庫
- 9. Maven Git倉庫
- 10. Maven倉庫
- 11. 我如何知道我需要明確需要哪些Ruby標準庫?
- 12. Apache Shiro需要哪些數據庫表?
- 13. JUNG:哪些庫需要依賴關係?
- 14. Firebase Admin SDK(Java)需要哪些庫?
- 15. FreeTTS需要輸出哪些庫?
- 16. mongodb:列出可用數據庫需要哪些最小角色?
- 17. 爲數據倉庫選擇SCD類型時,您需要考慮哪些事項?
- 18. 哪些文件夾需要寫入Magento
- 19. 我需要澄清ThreadExpExcutor beforeExecute和afterExecute掛鉤
- 20. 如何在TFS中應用服務器端掛鉤 - Git倉庫
- 21. 水銀changegroup鉤:倉庫URL
- 22. 將git掛鉤放入Windows版本庫
- 23. 我需要安裝哪些sdk版本?
- 24. 我需要分發哪些文件?
- 25. 我需要哪些子類遷移?
- 26. 在asp.net 5中,我需要哪些包?
- 27. 我需要索引哪些字段?
- 28. Hibernate 4.1.9:我需要哪些jar文件?
- 29. 我在哪裏可以找到ebaysdk maven倉庫?
- 30. Maven Github倉庫+ Artifactory