1. Trang chủ
  2. Câu hỏi và trả lời
  3. Trang web Liệt kê Các phụ thuộc Maven Transitive

Trang web Liệt kê Các phụ thuộc Maven Transitive

2013-10-23 20 views
5

Trong tổ chức của tôi, tôi bị một cơ quan bảo mật CNTT quản lý chặt chẽ. Như vậy, tất cả các truy cập vào gương maven đều bị cấm. Tuy nhiên, tôi có thể cung cấp chi tiết về các phụ thuộc mà tôi yêu cầu để các nhân viên bảo mật CNTT có thể thực hiện kiểm tra/quét của họ và hy vọng tải xuống các tệp nhị phân cho tôi.Trang web Liệt kê Các phụ thuộc Maven Transitive

Sau đó, tôi cài đặt chúng trong repo maven cục bộ của tôi, có nghĩa là chúng sẵn sàng tự do cho nhóm của tôi bên trong tường lửa.

Vẻ đẹp của maven là nó có thể xác định và tải xuống các phụ thuộc transitive. Tuy nhiên, không thể truy cập các tệp POM bên ngoài, tôi không thể thực hiện các kiểm tra này thông qua phụ thuộc maven: cây.

Do đó, tôi phải cung cấp phụ thuộc từng lần một cho bộ phận CNTT. Với chiều sâu của một số chuỗi phụ thuộc, điều này có thể mất khá nhiều thời gian để quay trở lại/chuyển tiếp với CNTT. Ngoài ra, tôi làm phụ thuộc: cây ở nhà, và gửi thư cho bản thân kết quả.

Tôi đã tự hỏi liệu có ai có đề xuất nào về trang web nơi tôi có thể truy vấn thông tin này không? Vì vậy, nếu tôi muốn (nói) log4j: 1.2.17, nó sẽ cho tôi biết rằng tôi cũng cần phải yêu cầu javax.mail: mail: 1.4.3 quá.

Nguồn

2013-10-23 jwa

+0

Nó không phải là hoàn hảo nhưng mvnrepository.com cung cấp cho bạn một mức độ phụ thuộc với phiên bản của họ. ví dụ: http://mvnrepository.com/artifact/log4j/log4j/1.2.17 –

+0

@ Olivier.Roger bạn sẽ ngạc nhiên về việc làm thế nào nó nhanh chóng trở nên tẻ nhạt! Rất nhiều thư viện có chuỗi phụ thuộc sâu sắc hơn bạn mong đợi. Tôi thậm chí còn đang xem xét viết một kịch bản lệnh shell để wget trang, loại bỏ HTML và lặp lại .... nhưng quyết định đó là một bước quá xa! – jwa

Trả lời

5

Rất tiếc, tôi không biết bất kỳ trang web nào cung cấp cho bạn thông tin phụ thuộc đầy đủ, nhưng có một giải pháp tốt cho sự cố cơ bản.

Cụ thể, bạn có thể cố gắng thuyết phục quản lý để sử dụng trình quản lý kho chứa với tính năng kiểm tra giả tạo.

Sonatype Nexuscertainly has this (xem "Mua sắm Artifact"), JFrog Artifactoryseems to enable this as well (thông qua Giấy phép Control "), cả hai đều đóng vai phụ trong các phiên bản trả tiền.

một cách tiếp cận như vậy sẽ tiết kiệm thời gian và tiền bạc trong về lâu dài nhà quản lý Repository là nhiều ít mong manh hơn một repo địa phương chia sẻ:.

  • họ là một ent rõ ràng ity dành cho mục đích này (và Maven có cài đặt cụ thể rõ ràng để làm việc với chúng),
  • chúng có cơ chế xác thực/ủy quyền chuyên dụng có thể được thực hiện để làm việc với các cơ chế hiện có trong công ty của bạn,
  • bạn có thể sử dụng triển khai plugin với họ đúng cách xuất bản xây dựng hiện vật,
  • vv vv

Một lý do khác có liên quan mà có thể gây ảnh hưởng trên cơ quan an ninh của bạn là bạn có thể sử dụng các thủ tục kiểm toán cùng cho cả bên ngoài và hiện vật bên trong.

Nguồn

2013-10-23 13:02:30

+0

Điều này thật thú vị, nó sẽ liên quan đến việc giảng dạy bộ phận CNTT nhiều hơn về java và cách thức các công việc phụ thuộc (có thể là thú vị, vì chúng ta không nói cùng một ngôn ngữ - theo nghĩa đen). Tôi nghĩ rằng đây là một cách tiếp cận hợp lý, và nếu không ai khác có thể đưa ra một dịch vụ cung cấp này, nó có vẻ như là câu trả lời đúng. – jwa

+0

@jwa: Tôi rất vui khi biết khả năng này tồn tại trong trường hợp của bạn và bạn có những cảm thông của tôi về thiết lập hiện tại. Việc chuyển sang trình quản lý kho lưu trữ có nhiều ưu điểm hơn, tất nhiên, bạn có thể sử dụng nó làm bổ sung "đối số đạn". –

Các vấn đề liên quan

 Các vấn đề liên quan