在我的组织内部,我受到IT安全机构的严格监管.因此,禁止所有访问maven镜像.但是,我可以提供我需要的依赖项的详细信息,以便IT安全人员可以执行其检查/扫描,并希望为我下载二进制文件.
然后我在我的本地maven repo中安装这些,这意味着它们可以在防火墙内免费提供给我的团队.
maven的美妙之处在于它可以识别和下载传递依赖.但是,如果无法访问外部POM文件,我无法通过maven dependency:tree执行这些检查.
因此,我必须一次一个地向IT部门提供依赖项.鉴于某些依赖链的深度,这可能需要相当长的时间才能回归/转发IT.或者,我在家里做依赖:树,并自己邮寄结果.
我想知道是否有人对我可以查询此信息的网站有任何建议?所以,如果我想(比如)log4j:1.2.17,它会告诉我我还需要请求javax.mail:mail:1.4.3.
不幸的是,我不知道有任何网站可以提供完整的传递依赖信息,但是对于潜在的问题有一个很好的解决方案.
也就是说,您可以尝试说服管理层使用具有工件审计功能的存储库管理器.
Sonatype Nexus 肯定有这个(参见"工件采购"),JFrog Artifactory 似乎也支持这一点(通过许可证控制"),作为付费版本的附加功能.
从长远来看,这种方法可以节省时间和金钱.存储库管理器比共享的本地存储库脆弱得多:
可能影响您的安全机构的另一个相关原因是您可以对外部和内部工件使用相同的审核过程.
| 归档时间: |
|
| 查看次数: |
74 次 |
| 最近记录: |