Извините, это будет не настоящий ответ, но он также не подходит для комментария :)
Вкратце: поговорите с ребятами из брандмауэра. Нет смысла бездельничать и тратить часы и дни на работу. Рано или поздно вы получите копию maven central. А это им тоже может не захотеться.
Часто разработчикам не разрешается подключаться к maven central. Но это немного параноик. Даже те компании, которые копируют банку за банкой, не могут проверить, что скопированная ими банка вручную не содержит атомной бомбы.
Есть несколько вариантов:
Используйте цель dependency: go-offline: http://maven.apache.org/plugins/maven-dependency-plugin/go-offline-mojo.html
это загрузит все зависимости и плагины. Также выполняйте цели для вашей сборки. В результате в вашем локальном репозитории появятся необходимые артефакты. Я не знаю, что умеет Archiva. Возможно, произошел импорт структуры папок. Кажется, у них разные форматы хранения (файл, кролик, кассандра) для репозиториев. Может быть, файл был бы вариантом. В репозитории Sonatype Nexus все хранится в файлах. Таким образом, вы можете просто скопировать свой локальный репозиторий в один из управляемых, обновить кеш и готово. (или отложите нексус в сторону архива и отразите его таким образом)
В любом случае вам нужен где-то доступ к maven central. Обычно люди делают это дома и берут с собой USB-накопитель ... что не имеет смысла.
Поговорите с брандмауэром, чтобы позволить архиву подключаться к maven central и, возможно, к ibiblio и jboss-репозиториям. Это сэкономит много времени.
Если они озабочены безопасностью, я не видел никого, кто бы действительно проверял весь код проекта. Будь честен с собой. Подделка безопасности с помощью ограничений, требующих большого объема работы, не ведет к повышению безопасности. Если сканеры ничего не обнаруживают в прокси-сервере репозитория, то, вероятно, ничего нет.
Версия nexus pro (немного дорогая) содержит какую-то функцию анализа, чтобы увидеть, есть ли известные проблемы безопасности внутри используемых jar-файлов. Если это успокаивает людей. Ценник может вернуть их обратно.
Это было бы моим предложением: каждому разработчику разрешено подключаться к вашему архиву (mirrorOf = *) - как своего рода согласие с политиками / ограничениями. Серверу archiva разрешено подключаться к миру (только центральный, jboss-repo, ibiblio). Таким образом, у вас будет полный контроль над происходящим, а разработчики смогут свободно передвигаться. Если они пойдут в неправильном направлении, вы заметите это в обзоре (который содержит зависимости) или в действиях на прокси-сервере maven.
Раньше можно было зеркалировать maven central с помощью rsync. Но я перестал думать об этом много лет назад. Это просто пустая трата времени.
Не стоит недооценивать время, необходимое для добавления зависимостей к прокси. Это простая задача - да, но на нее уходит очень много времени. Если брандмауэры захотят за это заплатить: пусть будет так. Но не ошибайтесь с цифрами: вам нужно, чтобы кто-то добавлял файлы, а пока это происходит, другие ждут его. Деньги из окна. Поэтому люди будут писать сценарии, копирующие зависимости в локальные репозитории. Что означает: никакого контроля над происходящим. Это также было одной из причин использования прокси-сервера репозитория.
Maven Central можно использовать.
Надеюсь, вы сможете найти разумное решение :)
person
wemu
schedule
09.12.2014
