在我的组织内,我受到IT安全机构的严格监管。因此,禁止所有访问maven镜像。但是,我可以提供我需要的依赖项的详细信息,以便IT安全人员可以执行检查/扫描,并希望为我下载二进制文件。
然后我将这些安装在我当地的maven repo中,这意味着我们的团队可以在防火墙内免费使用它们。
maven的美妙之处在于它可以识别和下载传递依赖。但是,如果无法访问外部POM文件,我无法通过maven依赖项执行这些检查:tree。
因此,我必须一次一个地向IT部门提供依赖项。鉴于某些依赖链的深度,这可能需要相当长的时间才能回归/转发IT。或者,我在家里做依赖:树,并自己邮寄结果。
我想知道是否有人对我可以查询此信息的网站有任何建议?所以,如果我想(比如)log4j:1.2.17,它会告诉我我还需要请求javax.mail:mail:1.4.3。
答案 0 :(得分:5)
不幸的是,我不知道有任何网站可以提供完整的传递依赖信息,但是有一个很好的解决方案 。
即,您可以尝试说服管理层使用具有工件审核功能的存储库管理器。
Sonatype Nexus certainly has this(参见“工件采购”), JFrog Artifactory seems to enable this as well(通过“许可证控制”),两者都是附加内容付费版。
这种方法从长远来看将节省时间和金钱。与共享本地存储库相比,存储库管理器不那么脆弱:
可能影响您的安全机构的另一个相关原因是您可以对外部和内部工件使用相同的审核程序。