Maven Central 与其他存储库？

Question

在 Maven 中心，我可以看到其他几个可用于某些库的存储库。例如 - Apache Common BeanUtils 在 Central、Redhat GA、JBoss 3rd-party 等中可用。库名称也会更改。例如，Maven CCentral 具有 1.9.4 等版本，而 Redhat GA 具有 1.9.3.redhat-1 等版本。

单击此 URI 可查看详细信息。 https://mvnrepository.com/artifact/commons-beanutils/commons-beanutils

我的问题是 - 标记为 Central 的 Repo 和“Redhat GA”之间有什么区别？

附上 :Maven GA 的图像；回购协议也在这里。

Answer 1

关于：

我的问题是 - 标记为 Central 的 Repo 和“Redhat GA”之间有什么区别？

从这里： https: //access.redhat.com/maven-repository

“Redhat GA”是通用的 JBoss Enterprise Maven 存储库。

该页面还提到：

存储库中的工件不会收到自动安全补丁，因为 Maven 要求工件不可变。因此，缺少已知安全缺陷补丁的工件将保留在存储库中，以避免破坏依赖于它们的构建。修补过的工件的版本号会增加。

如果您在存储库中查看自述文件：https ://maven.repository.redhat.com/ga/README.md

该存档包含 JBoss WFK 2 的 Maven 存储库工件。这旨在与 JBoss EAP 6 Maven 存储库一起用作开发环境中的附加 Maven 存储库。

因此，Redhat GA 版本似乎是 Maven Central 工件的修补版本，专门用于支持 JBoss WFK。

我的猜测是，这些补丁纠正了 Maven Central 基础工件中的安全缺陷。

关于：

例如，Maven CCentral 具有 1.9.4 等版本，而 Redhat GA 具有 1.9.3.redhat-1 等版本。

对于这个例子，我的猜测是 1.9.3.redhat-1 是来自 Maven Central 的 1.9.3 的安全补丁版本。

回复：（上面评论）

使用来自其他存储库（例如本例中的 Redhat）的库版本比使用 Central 安全吗？或者，当企业应用程序应该使用来自 Maven Central 以外的其他 Repos 的库时，在什么情况下会出现这种情况？

如果您需要特定 Maven Central 版本的安全强化版本，但无法从 Maven Central 升级到更高版本（出于任何原因：风险、不兼容、不存在等） - Red Hat 版本可能成为一个解决方案。

至于是否安全，取决于您是否信任 RedHat、Maven 或任何其他提供开源的组织。