一般来说,是否应该只将中央Maven存储库添加到pom.xml +可选的任何本地Maven存储库?理论上(我认为?)任何人都可以建立一个存储库 - 是否有一个Maven存储库< - > Maven存储库'信任圈还是什么?
我怎么知道我真的下载(比方说)log4j编译的JAR而不是一些卑鄙/邪恶的版本?
答案 0 :(得分:1)
最佳做法是不将任何存储库添加到pom.xml中。最好的解决方案是配置到settings.xml中,或者最好的解决方案是使用存储库管理器。此外,如果你没有repo-manager,最好的办法就是使用maven central,但为此你不需要配置任何东西,因为Maven Central是Maven本身的默认设置。 Maven Central是Sonatype人员的控制管理员,并不是那么容易进入Maven Central。你可以做些什么来保证传输更多一点是打开由configuration in the settings.xml控制的校验和检查。
答案 1 :(得分:1)
你可以采取一些让自己感觉舒服的事情: