use*_*697 3 open-source maven-2 corporate
我怎样才能说服我的公司雇主,而不是来自Maven仓库的罐子可以安全使用?我在我的本地仓库上进行了一次罐子计数,然后又回到了552.我的目标是设置一个带有批准的罐子的公司存储库,但我不想提交数百个,最终需要数千个软件请求.任何建议(除了找到新的emp)?
我怎样才能说服我的公司雇主,而不是来自Maven仓库的罐子可以安全使用?
从Maven存储库下载jar并不比从其他位置下载jar安全.换句话说,Maven存储库并没有真正引入问题,问题是您对外部库的依赖.
现在,如果你的老板真的很偏执,他总是可以要求你抓住你的552罐的来源,逐行审核,建造它们并将它们安装在经批准的罐子库中.这将"只是"花费他几美元:)
但由于大多数项目都是开源的,因为它们是透明的,因为很多人都可以检查它们,我个人认为任何恶意攻击都会被检测得非常快,并且成本不值得冒险(这是非常低的).也许我太信任社区,但到目前为止,它的确有效.
| 归档时间: |
|
| 查看次数: |
622 次 |
| 最近记录: |