我需要注意连接到哪个Maven存储库吗？

Question

一般来说，是否应该只将中央Maven存储库添加到pom.xml +任何本地Maven存储库？理论上(我想？)任何人都可以建立一个仓库--有一个'Maven Repository<->Maven Repository‘信任圈吗？

例如，我如何知道我正在下载(比方说) log4j编译过的JAR，而不是某个混蛋/邪恶的版本？

Answer 1

你可以做一些让你感觉舒服的事情：

• 使用本地存储库管理器，如Nexus或JFrog，并代理您想要使用的任何存储库。这样做的好处很少：
  • 本地管理器可以跟踪SHA，以确保jar不会在您的脚下发生更改。
  • 您可以限制开发人员可以使用的存储库

​

• 尽可能地坚持使用Maven Central --如此多的人使用它，以至于如果有人用不值得信任的东西替换了log4j版本，每个人都会很快知道(因为散列不会对齐)。一般来说，这一论点也适用于任何其他拥有流行库的存储库(例如sourceforge，google code，codehaus等)
• ，如果你使用的是某个家伙的存储库，而他写的库在野外并不是很受欢迎，那么这件事就有可能变得危险。在实践中，这种情况很少发生。在这种情况下，也许您可以自己构建代码以确保安全。

Answer 2

最佳实践是不将任何存储库添加到pom.xml中。最好的解决方案是在settings.xml中进行配置，或者使用存储库管理器。此外，如果您没有repo-manager，最好使用maven central，但是您不需要配置任何东西，因为Maven Central是Maven本身的缺省设置。Maven Central是由Sonatype的人控制管理的，要把一些东西放到Maven Central中并不是那么简单。为了使传输更加安全，您可以做的是打开由configuration in the settings.xml控制的校验和检查。