Нужно ли быть осторожным, в какие репозитории Maven я вхожу?

Question

Вообще говоря, следует ли добавлять центральный репозиторий Maven только в pom.xml +, при необходимости, в какие-либо локальные репозитории Maven?Теоретически (я думаю?) Кто-нибудь может создать репозиторий - есть ли круг доверия «Maven Repository <-> Maven Repository» или что-то в этом роде?

Как я могу узнать, например, что я действительно скачиваю(скажем) log4j скомпилировал JAR, а не какую-то ублюдочную / злую версию?

Answer 1

Несколько вещей, которые вы можете сделать, чтобы чувствовать себя комфортно:

• Используйте менеджер локальных репозиториев, такой как Nexus или JFrog, и проксируйте любые репозитории, которые вы хотите использовать.В этом есть несколько преимуществ:
  • Локальный менеджер может отслеживать хэши SHA, чтобы убедиться, что баночка не изменилась у вас под ногами.
  • Вы можете ограничить репозитории, которые ваширазработчики могут получить доступ.
• Придерживайтесь Maven Central, когда вы можете - так много людей используют его, что если кто-то изменит версию log4j с чем-то ненадежным, то все узнают очень быстро (потому что хешивыстраиваюсь).Как правило, этот аргумент верен и для любых других репозиториев, которые содержат популярные библиотеки (например, sourceforge, google code, codehaus и т. Д.).библиотека, которая не очень популярна в дикой природе.На практике это случается редко.В этих случаях, может быть, вы можете просто создать код самостоятельно, чтобы быть уверенным.

Answer 2

Рекомендуется не добавлять репозиторий в pom.xml. Лучшее решение - это настроить файл settings.xml, или лучшее решение - использовать менеджер репозитория. Кроме того, лучше всего работать с maven central, если у вас нет менеджера репозитория, но для этого вам не нужно ничего настраивать, потому что Maven Central является значением по умолчанию в самом Maven. Maven Central управляется административным персоналом Sonatype, и не так-то просто получить что-то в Maven Central. Что еще можно сделать для защиты транспорта, так это включить проверку контрольной суммы, которая контролируется конфигурацией в файле settings.xml .