生命的终结

Question

是否有一种自动的方法来确定或找到库的终止生命(EOL)/end of support (EOS)通知？

这方面的具体背景如下：

我们的软件使用50+库以及一些平台。我似乎找不到一个自动化的解决方案，它可以告诉您某个特定库是否已经达到了支持的极限。

目前我遇到的解决办法是黑鸭。我的理解(只使用代码中心)是，黑鸭更关心的是开放源码软件治理，不包括专有软件。黑鸭确实会通知用户安全更新和许可证冲突，但据我所见，它并没有通知EOL/EOS的用户。

我们目前的解决办法如下：

有一个我们使用的所有库的列表(我们使用Artifactory)，定期检查图书馆网站上的任何通知，然后以某种形式(目前是wiki页面，这是一个噩梦)来维护它，以用于术语目的：

一个库，一个jar或npm模块

Answer 1

我认为目前没有比您的解决方案更好的解决方案。

• Maven Central / Sonartype没有为以前上传的工件提供更新POM文件的方法。因此，发布艺术品的人不能更新它，说明它已经过时或结束了生命或.还要别的吗。(有充分的理由解释工件是不可变的。)

。

• ，无论是Maven Central / Sonartype还是任何第三方，都没有保存过时或终结生命的文物的注册。

所以..。这样的事情有可能吗？

从技术上说是的。上传到Maven Central的所有工件都必须有一个带有已发布的PGP公钥的PGP签名。因此，第三方站点可以检查EOL通知是否与用于签名已发布的工件的密钥对进行签名。然后，他们可以使用web创建一个数据库来查询工件的状态，并创建一个Maven插件来完成这项工作。(可能有一些有趣的缩放问题.但没有什么是解决不了的。

实际上，我们需要说服足够多的开发人员(工件的消费者)，自动检查EOL工件是一个好主意，并且足够多的供应商(工件供应商)认为发布EOL通知是个好主意。而且需要有人掏钱来支付注册的基础设施，以及建造和管理它的人。

考虑到最近发生的事件(例如log4shell和相关的漏洞)，这种情况可能会发生。