1
私はそうのようなbuild.sbtファイルに依存を追加するこれを行うには、ライブラリー(HTMLUnit)をダウンロードしてプレイFrameworkの作り付けの依存管理を使用しています
:依存性は、その後のApacheを使用してダウンロードされクロスフレームインジェクションやその他の依存関係管理の脅威からPlay Frameworkを保護するにはどうすればよいですか?
libraryDependencies += "net.sourceforge.htmlunit" % "htmlunit" % "2.20"
私がプロジェクトをビルドするとアイビー(sbt経由で)。
ダウンロードされた依存関係は、それが言っていることであることをどのようにして知っていますか?また、悪意のあるコードが含まれていないことを確認しますか?
ご回答いただきありがとうございます。依存関係を確認するにはどうすればよいですか? HTMLUnitは[source forge](https://sourceforge.net/projects/htmlunit/files/htmlunit/)で入手できます。ここからダウンロードしてlibフォルダに置くと、手動でダウンロードしたファイルがどのように確保されますか本物ですか?また、このようなことを読むことはソースフォージから私を遠ざけるように思える:[警告:もしあなたがそれを助けることができれば、ソフトウェアからソフトウェアをダウンロードしない](http://www.howtogeek.com/218764/warning-don%E2% 80%99t-download-software-from-sourceforge-if-you-can-help-it /) – DominoSug
要約:テストがあなた自身の(あなたのセキュリティ部門)によってダウンロードされるまで決して確かめることはできません。あなたが大きなプロジェクトで100%のセキュリティが必要な場合は、1〜30人のような小規模なプロジェクトであれば、Mavenを信頼するか、何百万というようなものを使用しますか?100%セキュリティが必要な場合は、疑わしいコードで使用し、安全なイントラネットリポジトリに格納します。私がリンクした文書を読んでください。あなたの質問に対する幅広い答えが含まれています。 –