go - 为什么要为私有包使用 golang 存储库(例如 Artifactory),GONOSUMDB/GOPRIVATE 是否危险?
问题描述
我正在开发一个私人 golang 项目,我在另一个私人项目中使用该项目。我正在使用它的 github 存储库引用它,该存储库在我在 GOPRIVATE 中设置了存储库之后起作用(GONOSUMDB 也起作用)。
- 我的方法可以吗?是否有理由不将我的私人回购设置为 GOPRIVATE 或 GONOSUMDB 我是否愿意以这种方式消费不良项目?
- 此外,我为什么要使用像 Artifactory 这样的私有存储库?除了使用私人 github 存储库之外,它是否提供任何好处?
谢谢你的帮助。
解决方案
与其将工件存储库视为私有包存储库,不如将它们视为缓存并将包安全性视为第二要务。
对于 go 模块代理、sum db 和索引,您应该只谨慎使用代理服务器 ( https://proxy.golang.org/ ),因为 golang “存储”您的源文件。因此,在这种情况下,golang proxy == artifactory。
https://www.jfrog.com/confluence/display/JFROG/Go+Registry:
……
为远程 Go 资源提供代理和缓存功能的远程 Go 注册表。
……
推荐阅读
- delphi - 如何在 Delphi 中知道 TForm 中的最大字幕长度
- angularjs - 如何在我的 angularjs 代码中解决这个错误
- android - 在理解此 ANR 报告时需要帮助
- android - 列表项上的 Android Swipe 菜单无法处理父宽度更改
- node.js - 如何使用 Electron 的内置 Node 实例来运行任务?
- r - 防止 renderUI 更新所有输入
- php - 只有第一列被回显,而不是全部
- vue.js - 如何在 VueJS 中使用 for 循环对属性中的数据进行分组
- java - Java Stream中的forEach方法可以将Function函数接口作为参数吗
- loops - 如何遍历 ansible playbook 输出?