Здравствуйте, ·, Вы писали:

·>Ты тут выше требовал, что тебе непременно нужно 42.7.0, а текущее 42.6.0 тебя не устраивает, т.к. на mvnrepository ты увидел, что вышла новая версия 6 дней назад. Я тоже тебя не понял — зачем, но пытался предложить тебе решение.

Я хотел просто актуальную версию из репозитория в новом проекте, а не то, что закэшировалось локально, пока я над другим проектом работал.
Это не значит, что мне в старом проекте нужно что-то автоматом подтягивать.

·>Уменьшать технический долг. Иначе когда тебе понадобится обновиться, выяснится, что при переходе с очень старой версии на нужную всё сломалось и вообще неясно как чинить.
·>Плюс часто это обязуют делать при обнаружении дыр. Тот же mvnrepository ведёт список Vulnerabilities для библиотек.

Nuget при сборке выдаёт предупреждение вида:

NU1903: Package 'Newtonsoft.Json' 12.0.3 has a known high severity vulnerability, https://github.com/advisories/GHSA-5crp-9r3c-p9vr

Хочешь — реагируешь, не хочешь — забиваешь.

·>Как и любой автоматический билд... Или собираешь ты тоже вручную?

Каким образом индекс для помощи в наборе xml связан с билдом?
Я и без него могу вручную добавить зависимость и билду не нужен этот самый индекс.

·>Индекс для автокомплита, чтобы в процессе набора кода тебе что-то показалось сразу. Апдейт явно провеяет новые версии напрямую.

И вот зачем мне эта возня на ровном месте? Что мешало сделать нормально без дополнительныз телодвижений?

·>Эээ.. что за хрень? А какой-нибудь Newtonsoft.Json у себя на серверах собираешь? И Студию?

Я не плачу за написание этой библиотеки и пользуюсь теми же публичными пакетами, что и куча других разработчиков.

·>Т.е. исходников с msbuild-файлом не хватает? Ну это проблема msbuild.

Ну, вот у меня был в жизни опыт, когда организация платила за разработку библиотеки.
Подрядчик им присылал готовый jar-файл, исходники в каком-то виде присылались.
Потом организация решила сама подправить что-то в коде, оказалось, что исходники не собираются, в pom.xml прописаны какие-то серверы подрядчика.
Неделю ковырялись, чтобы это в принципе собралось.
Чья это проблема была? maven плохой? Или просто нужно контролировать что тебе присылают?

·>Нет, не логично. Или ты gentoo-шник?

Ну, доверяй дальше подрядчикам и надейся, что оплаченная разработка в принципе соберётся, а не так, что и деньги потратил и какие-то бинарники есть, а подправить мелкий баг нельзя, т.к. оно не собирается.

·>Разница в том, что будет инфа о том _где_ этот пакет лежит.

Это вопрос организации рабочих процессов и в идеале этих вопросов не должно возникать, т.к. подобные вещи должны той же AD настраиваться.
У меня вот сейчас есть претензия от админов, что я не в тот репозиторий собираю пакеты.
Сейчас они вручную перекинули, но и учётку при этом не дают, чтобы я всё у себя настроил как нужно.
Типа потом разберёмся, а пока так пойдёт.
И что мне в этом случае даёт знание адреса репозитория?

·>А в чём тогда проблема-то тогда? Если тебе очень хочется спрятать информацию о репозиториях, чтоб враг не догадался, ты её можешь разместить в settings.xml на каждом конкретном компе, а не в pom.xml самих проектов. Или вообще через командную строку передавать, пока никто не смотрит.

В том, что я вижу как на Java все вокруг хардкодят репозитории в pom.xml и им пофиг на возможную смену окружения.
Ладно я с этим всем не так плотно работал и многого ещё не знаю, но люди в разных организациях этим занимаются и им нормально.