Как отключить доступ к central

20 марта 2024 г. Читается за 4 мин. Навыки Maven

Варианты отключения доступа к репозиторию Maven Central в отдельном проекте.

На этой странице

Все примеры запускались на Maven 3.9.6

Если вы пользуетесь другой версией, то могут быть расхождения в фактическом поведении сборки. Если же используемая версия ниже 3.8.1, то примеры конфигурации точно потребуют внесения корректировок.

Более подробно этот вопрос был рассмотрен в статье Maven. Отключаем доступ к центральному хранилищу , включая некоторые подводные камни каждого варианта.

Предисловие

Работа на крупных проектах часто связана с необходимостью соблюдать различные требования, в том числе мириться с ограничениями от службы информационной безопасности. Одним из таких ограничений в последнее время стал запрет на свободное использование артефактов с центрального maven репозитория. При этом часто происходит переход от автоматического проксирования на “ручной” процесс загрузки отдельных артефактов, в том числе с привлечением выделенной группы, которая рассматривает специальные заявки.

В итоге появляется необходимость исключить расхождение между сборкой проекта локально и на CI в закрытом контуре.

Варианты решения проблемы

Все варианты основываются на создании отдельного конфигурационного файла maven. Альтернативы из серии “заблокировать адрес на уровне hosts или маршрутов сети” в большинстве случаев не подходят, так как ограничение надо реализовать только для отдельного проекта.

По запросу Disable Maven central чаще всего обсуждают два варианта:

переопределение адреса
указание зеркала

Сперва их и рассмотрим.

Переопределение адреса репозитория central

Необходимо указать адрес внутреннего репозитория, куда происходит загрузка внешних артефактов.

settings-disable-central.xml v1

 1<?xml version="1.0" encoding="UTF-8"?>
 2<settings xmlns="http://maven.apache.org/SETTINGS/1.2.0"
 3          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 4          xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.2.0 https://maven.apache.org/xsd/settings-1.2.0.xsd">
 5
 6    <profiles>
 7        <profile>
 8            <repositories>
 9                <repository>
10                    <id>central</id>
11                    <name>Private Nexus Common Repository</name>
12                    <url>https://akorolev.dev/repository/common/</url>
13                </repository>
14             </repositories>
15            <pluginRepositories>
16                <pluginRepository>
17                    <id>central</id>
18                    <name>Private Nexus Common Plugin Repository</name>
19                    <url>https://akorolev.dev/repository/common/</url>
20                </pluginRepository>
21            </pluginRepositories>
22            <activation>
23                <activeByDefault>true</activeByDefault>
24            </activation>
25        </profile>
26    </profiles>
27    <localRepository>D:/.m2/local_repository</localRepository>
28</settings>

На первый взгляд данное решение выглядит подходящим, но надо учитывать один важный момент. В локальном репозитории создаются файлы _remote.repositories, в которые записывается идентификатор источника загрузки.

При сборках maven проверяет, что источник ранее сохраненного артефакта присутствует в текущем контексте. Если в изолированных проектах переопределить central с разными адресами, но при этом использовать одно локальное хранилище, то можно подключить зависимость из “другого проекта”.

Использование зеркала для репозитория central

Можно заменить переопределение репозиториев на добавление зеркала.

settings-disable-central.xml v2

 1<?xml version="1.0" encoding="UTF-8"?>
 2<settings xmlns="http://maven.apache.org/SETTINGS/1.2.0"
 3          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 4          xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.2.0 https://maven.apache.org/xsd/settings-1.2.0.xsd">
 5
 6    <mirrors>
 7        <mirror>
 8            <id>private-nexus-mock-external</id>
 9            <mirrorOf>central</mirrorOf>
10            <name>Repository to mock external</name>
11            <url>https://akorolev.dev/repository/common/</url>
12        </mirror>
13    </mirrors>
14
15    <localRepository>D:/.m2/local_repository</localRepository>
16</settings>

В метаинформацию по источнику загрузки артефакта будет добавляться уже не идентификатор репозитория, а идентификатор зеркала: private-nexus-mock-external. Это устранит возможность возникновения проблемы с некорректным определением доступности в текущем контексте сборки, если избегать создание зеркал с одинаковым именем, но разными адресами.

Блокировка репозитория central

В целом, предыдущий вариант решает необходимую задачу и можно воспользоваться им.

Есть только “концептуальный” момент, что https://akorolev.dev/repository/common/ — это не зеркало внешних репозиториев, а внутреннее хранилище организации. В первую очередь пространство предназначено для корпоративных библиотек общего назначения, в которое дополнительно загружаются отдельные внешние зависимости по мере потребностей.

Если используется Maven версии 3.8.1 В данном релизе была обновлена

settings-disable-central.xml v3

2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37Blocked mirror for repositories: [central (https://repo.maven.ap и выше, то можно попробовать альтернативный вариант. href=https://maven.apache.org/xsd/settings-1.2.0.xsd target=_blank rel="external nofollow noopener noreferrer">xml-модель файла настроек и элемент mirror обзавелся вложенным blocked. class=highlight>

 1<?xml version="1.0" encoding="UTF-8"?> class=cl><settings xmlns="http://maven.apache.org/SETTINGS/1.2.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.2.0 https://maven.apache.org/xsd/settings-1.2.0.xsd"> <mirrors> <mirror> <id>maven-central-blocker</id> <mirrorOf>central</mirrorOf> <name>Pseudo repository to block the central repository</name> <url>http://0.0.0.0/</url> <blocked>true</blocked> </mirror> </mirrors> <profiles> <profile> <repositories> <repository> <id>private-nexus-common</id> <name>Private Nexus Common Repository</name> <url>https://akorolev.dev/repository/common/</url> </repository> </repositories> <pluginRepositories> <pluginRepository> <id>private-nexus-common</id> <name>Private Nexus Common Plugin Repository</name> <url>https://akorolev.dev/repository/common/</url> </pluginRepository> </pluginRepositories> <activation> <activeByDefault>true</activeByDefault> </activation> </profile> </profiles> <localRepository>D:/.m2/local_repository</localRepository> class=cl></settings>

Если при такой конфигурации сборщик будет доходить до обращения к central репозиторию, то в логи будут выводиться соответствующие предупреждения ache.org/maven2, default, releases)], а сборка будет падать в ошибку.

Но на данном варианте тоже была замечена проблема при использовании достаточно старых версий плагинов. Например, flatten-maven-plugin версии 1.1.0 (21 декабря 2018 г.) стабильно пытался проверить доступность через заблокированное зеркало, так как ошибочно считал, что ранее закешированный артефакт загружен с недоступного в текущем контексте репозитория. Хотя его банальное обновление до следующей версии 1.2.1 (18 января 2020 г.) устранило данную проблему и проект начинал собираться корректно.

Источник изображения в заголовке Unsplash. Автор Will Porada .

Обход maven-default-http-blocker

Смотреть документацию