一般來說,是否應該只將中央Maven倉庫添加到pom.xml +可選的本地Maven倉庫?理論上(我認爲?)任何人都可以建立一個存儲庫 - 有沒有'Maven Repository < - > Maven Repository'的信任圈?我需要小心哪些Maven倉庫掛鉤進入?
我怎麼知道我真的下載(說)log4j編譯的JAR,而不是一些混蛋/邪惡的版本?
一般來說,是否應該只將中央Maven倉庫添加到pom.xml +可選的本地Maven倉庫?理論上(我認爲?)任何人都可以建立一個存儲庫 - 有沒有'Maven Repository < - > Maven Repository'的信任圈?我需要小心哪些Maven倉庫掛鉤進入?
我怎麼知道我真的下載(說)log4j編譯的JAR,而不是一些混蛋/邪惡的版本?
很少有事情可以做,感覺很舒服:
最佳實踐不是將任何存儲庫添加到pom.xml中。最好的解決方案是將其配置到settings.xml中,或者最好的解決方案是使用存儲庫管理器。此外,如果你沒有repo管理器,最好的辦法是使用maven central,但爲此你不需要配置任何東西,因爲Maven本身就是默認的。 Maven Central是由Sonatype的用戶控制管理的,Maven Central並不是那麼簡單。你可以做些什麼來保證運輸更安全一些,就是打開由configuration in the settings.xml控制的校驗和檢查。