5

私の組織内では、私は IT セキュリティ機関によって厳しく規制されています。そのため、Maven ミラーへのすべてのアクセスは禁止されています。ただし、必要な依存関係の詳細を提供して、IT セキュリティ機関がチェック/スキャンを実行し、できればバイナリをダウンロードできるようにすることができます。

次に、これらをローカルの Maven リポジトリにインストールします。これは、ファイアウォール内のチームが自由に利用できることを意味します。

Maven の優れた点は、推移的な依存関係を識別してダウンロードできることです。ただし、外部の POM ファイルにアクセスできなければ、maven の依存関係: ツリーを介してこれらのチェックを実行できません。

その結果、依存関係を一度に 1 つずつ IT 部門に提供する必要があります。一部の依存関係チェーンの深さを考えると、IT とのやり取りにかなりの時間がかかる可能性があります。または、自宅で依存関係ツリーを実行し、結果を自分にメールで送信します。

この情報を照会できる Web サイトの提案があるかどうか疑問に思っていましたか? したがって、(たとえば) log4j:1.2.17 が必要な場合は、javax.mail:mail:1.4.3 も要求する必要があることがわかります。

4

1 に答える 1

5

残念ながら、推移的な依存関係に関する完全な情報を提供しているサイトは知りませんが、根本的な問題に対する適切な解決策があります。

つまり、アーティファクト監査機能を備えたリポジトリマネージャーを使用するよう経営陣を説得することができます。

Sonatype Nexus には確かにこれがあり(「Artifact Procurement」を参照)、JFrog Artifactory もこれを有効にしているようです(License Control を通じて)。どちらも有料版の追加機能です。

このようなアプローチは、長期的には時間とお金を節約します。リポジトリ マネージャーは、共有ローカル リポジトリよりもはるかに脆弱ではありません。

  • これらは、この目的を意図した明示的なエンティティです (Maven には、それらを操作することを明示的に意図した特定の設定があります)。
  • 社内の既存のものと連携できる専用の認証/承認メカニズムを備えている
  • deploy プラグインを一緒に使用して、ビルド アーティファクトを適切に公開できます。
  • などなど

セキュリティ機関を左右するもう 1 つの関連する理由は、外部内部の両方のアーティファクトに対して同じ監査手順を使用できることです。

于 2013-10-23T13:02:30.463 に答える