我如何说服我的公司雇主,而不是来自Maven存储库的罐子可以安全使用?我在我的本地仓库上进行了一次罐子计数,然后又回到了552.我的目标是设置一个带有批准的罐子的公司存储库,但我不想提交数百个,最终需要数千个软件请求。任何建议(除了找到新的emp)?
答案 0 :(得分:7)
我如何说服我的公司雇主,而不是来自Maven存储库的罐子可以安全使用?
从Maven存储库下载jar并不比从其他位置下载jar安全。换句话说,Maven存储库并没有真正引入问题,问题是您对外部库的依赖。
现在,如果你的老板真的很偏执,他总是可以要求你抓住你的552罐的来源,逐行审核,建造它们并将它们安装在经批准的罐子库中。这将“只是”花费他几美元:)。
但是由于大多数项目都是开源的,因为它们是透明的,因为很多眼睛都可以检查它们,我个人认为任何恶意攻击都会被检测得非常快并且成本不值得冒险(这是相当低的)。也许我太信任社区了,但到目前为止,它确实有效。