5

在我的组织内,我受到 IT 安全机构的严格监管。因此,禁止所有对 Maven 镜像的访问。但是,我可以提供我需要的依赖项的详细信息,以便 IT 安全机构可以执行他们的检查/扫描,并希望为我下载二进制文件。

然后我将它们安装在我的本地 maven 存储库中,这意味着它们可以在防火墙内免费提供给我的团队使用。

maven 的美妙之处在于它可以识别和下载传递依赖。但是,由于无法访问外部 POM 文件,我无法通过 maven dependency:tree 执行这些检查。

因此,我必须一次向 IT 部门提供一个依赖项。考虑到一些依赖链的深度,这可能需要相当长的时间才能与 IT 一起回溯/前进。或者,我在家里做依赖:树,并将结果邮寄给自己。

我想知道是否有人对我可以查询此信息的网站有任何建议?所以如果我想要(比如说)log4j:1.2.17,它会告诉我我也需要询问 javax.mail:mail:1.4.3。

4

1 回答 1

5

不幸的是,我不知道有任何网站可以为您提供完整的传递依赖信息,但是对于潜在问题有一个很好的解决方案。

也就是说,您可以尝试说服管理层使用具有工件审计功能的存储库管理器

Sonatype Nexus 肯定有这个(参见“工件采购”),JFrog Artifactory 似乎也启用了这个(通过许可证控制“),两者都是付费版本的额外内容。

从长远来看,这种方法将节省时间和金钱。存储库管理器比共享的本地存储库要脆弱得多:

  • 它们是用于此目的的显式实体(并且 Maven 具有明确用于使用它们的特定设置),
  • 他们有专门的身份验证/授权机制,可以与您公司的现有机制一起使用,
  • 您可以将部署插件与它们一起使用以正确发布构建工件,
  • 等等等等

另一个可能影响您的安全机构的相关原因是您能够对外部内部工件使用相同的审计程序。

于 2013-10-23T13:02:30.463 回答