Maven Central与其他Repos？

Question

在maven centrral上，我可以看到一些库可以使用的其他几个存储库。例如- Apache在中央，Redhat GA，JBoss第三方等版本中可用。库名称也会更改。例如，Maven有1.9.4这样的版本，而CCentral GA有- 1.9.3.redhat-1这样的版本。

单击此URI可查看详细信息。https://mvnrepository.com/artifact/commons-beanutils/commons-beanutils

我的问题是-标记为Central的回购和"Redhat GA“之间的区别是什么？

附加一个图像:Maven GA；repo也在这里。

​

Answer 1

回复：

我的问题是-标记为Central的回购和"Redhat GA“之间的区别是什么？

从这里：https://access.redhat.com/maven-repository

"Redhat GA“是通用的JBoss企业Maven存储库。

该页面还提到：

存储库中的

工件不会收到自动的安全补丁，因为Maven要求工件是不可变的。因此，缺少已知安全缺陷补丁的工件将保留在存储库中，以避免破坏依赖它们的构建。打过补丁的工件的版本号会递增。

如果您在存储库中签出自述文件：https://maven.repository.redhat.com/ga/README.md

此存档包含用于JBoss WFK2的Maven存储库工件。这意味着在JBoss EAP6Maven存储库的开发环境中用作附加的Maven存储库。

所以看起来Maven中央工件的Maven Redhat GA版本是补丁版本，特别是为了支持JBoss WFK.

我的猜测是这些补丁纠正了基本Maven Central工件中的安全缺陷。

回复：

例如，Maven有1.9.4这样的版本，而CCentral GA有- 1.9.3.redhat-1这样的版本。

对于本例，我猜测1.9.3.redhat-1是来自Maven Central的1.9.3的安全补丁版本。

回复：(上面的评论)

使用来自其他Repos (例如，本例中的Redhat)的库的版本比使用Central的安全程度如何？或者，企业应用程序应该使用Maven Central以外的其他Repos中的库的场景是什么？

如果您需要特定Maven Central版本的安全强化版本，但不能从Maven Central升级到更高版本(由于任何原因:风险、不兼容、不存在等)- Red Hat版本可能是一个解决方案。

至于它是否安全，这取决于你是否信任RedHat、Maven和任何其他提供开源的组织。