ivy.xmlファイルで依存関係のチェックサム値を指定する方法があるかどうか知りたいです。
たとえば、次の依存関係があります。
<dependency org="org.hibernate" name="hibernate-core" rev="3.5.6-Final"
force="true"/>
私がこのようなことをすることは可能でしょうか?
<dependency org="org.hibernate" name="hibernate-core" rev="3.5.6-Final"
checksum="10249177261810a3ba8f3b9a468d06e0" force="true"/>
これを実行したい主な理由は、セキュリティのためです。これは、リモートリポジトリを将来プルダウンするときに、リモートリポジトリへの依存関係が変更されていないことを確認するためです。リモートホストではなく、自分のivy.xmlファイルのチェックサム値と照合したいと思います。
ArtifactoryまたはNexusを見てください。これらは、さまざまなサードパーティのリポジトリからjarをダウンロードできるローカルのMavenリポジトリです。
どちらも、リモートアーティファクトをローカルにキャッシュし、ダウンロード後に再ダウンロードしないように設定できます。これにより、リモートリポジトリ内のjarが変更されるという問題が解決されます。
ivy(およびそのことについてはMaven)のチェックサムの主な目的は、ダウンロードが正しく機能し、ファイルが転送中またはストレージ中に破損していないことを確認することです。
セキュリティチェックにチェックサムを使用する唯一のツタの機能は、パッケージャリゾルバです。パッケージャリポジトリファイルはソースファイルとは別にホストされるように設計されているため、これは理にかなっています。
したがって、結論として、最善の解決策は、Davidのアドバイスに従い、ネットワーク内にMavenリポジトリマネージャーをデプロイすることです。Sonatypeは最近、Maven CentralへのSSL接続を提供しました。これにより、リモートリポジトリのなりすましからユーザーをさらに保護します。