一般的に言えば、中央の Maven リポジトリを pom.xml + オプションで任意のローカル Maven リポジトリに追加するだけでよいでしょうか? 理論的には (私が思うに?) 誰でもリポジトリをセットアップできます。「Maven Repository<->Maven Repository」という信頼の輪などはありますか?
たとえば、log4j でコンパイルされた JAR を実際にダウンロードしていること (たとえば) をどうすれば知ることができますか?
2 に答える
1
ベスト プラクティスは、リポジトリを pom.xml に追加しないことです。最善の解決策は、settings.xml に構成するか、リポジトリ マネージャーを使用することです。さらに、repo-manager がない場合は Maven Central を使用するのが最善ですが、そのためには何も構成する必要はありません。Maven Central は Maven 自体のデフォルトであるためです。Maven Central は Sonatype の人々によって管理されており、何かを Maven Central に取り込むのはそれほど簡単ではありません。トランスポートをもう少し安全にするためにできることは、 settings.xml の構成によって制御されるチェックサム チェックをオンにすることです。
于 2012-03-16T16:03:11.010 に答える
1
快適に過ごすためにできること:
- Nexus や JFrog などのローカル リポジトリ マネージャーを使用し、使用するリポジトリをプロキシします。これにはいくつかの利点があります。
- ローカル マネージャーは SHA ハッシュを追跡して、jar が足元で変更されていないことを確認できます。
- 開発者がアクセスできるリポジトリを制限できます。
- できる限り Maven Central を使用してください。非常に多くの人が使用しているため、誰かが log4j バージョンを信頼できないものに切り替えた場合、誰もがすぐにわかります (ハッシュが一致しないため)。一般に、この議論は、人気のあるライブラリ (sourceforge、google code、codehaus など) を保持する他のリポジトリにも当てはまります。
- あまり一般的ではないライブラリを書いた男のレポを使用している場合にのみ、危険が生じる可能性があります。実際には、これはめったに起こりません。そのような場合は、自分でコードをビルドして確認することができます。
于 2012-03-16T16:25:23.050 に答える