WebサイトMavenの推移的な依存関係を一覧表示

Question

私の組織内では、ITセキュリティ機関によって大きく規制されています。したがって、Mavenミラーへのアクセスはすべて禁止されています。しかし、ITセキュリティ団体がチェック/スキャンを実行し、私のためにバイナリをダウンロードできるように、私が必要とする依存関係の詳細を提供することができます。

これをローカルのmavenリポジトリにインストールします。つまり、ファイアウォール内の私のチームが自由に利用できるということです。

mavenの美しさは、推移的な依存関係を識別してダウンロードできることです。しかし、外部のPOMファイルにアクセスすることができなくても、私はこれらのチェックをmaven依存関係を介して実行することはできません。

その結果、IT部門に1つずつ依存関係を提供する必要があります。依存関係チェーンの深さを考えれば、これはITで前進するのにかなりの時間がかかることがあります。代わりに、私は依存関係を実行します：自宅でツリーを作り、結果をメールしてください。

誰かがこの情報を問い合わせることができるウェブサイトの提案があったのでしょうか？ですから、log4j：1.2.17が必要な場合は、javax.mail：mail：1.4.3も尋ねる必要があります。

Answer 1

残念ながら私はあなたに完全な推移的な依存関係情報を与えるサイトは認識していませんが、根本的な問題には良い解決策があります。

つまり、管理に、アーティファクト監査機能を持つリポジトリマネージャを使用させることができます。

Sonatypeネクサスcertainly has this（ "アーティファクト調達" を参照）、JFrog Artifactoryseems to enable this as well（ライセンス管理」を通じて）、有料のエディションでエキストラとして両方。

は、このようなアプローチは、に時間とお金を節約します長期リポジトリ管理者が共有ローカルレポよりもはるかに壊れにくくです：。

• 彼らは明示されているENT
• 企業内に存在する認証/認可メカニズムを使用することができます。
• この目的のために、セキュリティの体の上に揺れることがあり、正しくビルド成果物を公開する彼らとプラグイン、
• などなど

もう一つの関連する理由は、あなたが両方の外部に同じ監査手順を使用することができているということで、内部アーティファクト。