Nexus 中的发布存储库策略是否确保 jar 永远不会改变？

Question

我正在部署 Nexus OSS 作为内部公司存储库。 主要要求之一是，一旦 Nexus 下载了 jar（例如，当使用 is 作为 Maven Central 的代理时），它就永远不会改变。 我知道 Maven Central 有该政策，但我正在使用不受我控制的其他存储库，并且我必须在我这边验证该要求。

发布存储库策略是否确保一旦将 jar 下载到该存储库中，它就永远不会改变？

该要求的存在是为了确保我们可以返回到 1.5 年前创建的产品版本，并确保产品使用的存储库工件与现在构建产品时相同。

Answer 1

事实上，发布存储库应该严格禁止发布后的内容修改，这就是 Maven Central 正在做的事情：

2.2.4。中央 Maven 存储库

(...) 这里有一些
释放特性
存储库，例如 Central Maven
存储库：

...

发布稳定性

一旦发布到 Central Maven
存储库、工件和
描述该工件的元数据
永远不会改变。释放此属性
存储库保证项目
这取决于版本将是
随着时间的推移可重复且稳定。尽管
新的软件工件正在被
每天向中央发布一次
工件被分配了一个版本
中环号码有严格规定
禁止修改内容的政策
后的软件工件
发布。

话虽如此，Maven 客户端是否会（重新）下载工件并不真正取决于存储库及其策略，这是 Maven DNA 的一部分，并且它不会发生（除非您从您的应用程序中删除给定的工件）当然是本地存储库）。在 [MNG-2528] 中引用 Brett Porter - updatePolicy“always”不适用于具有“releases”的存储库“，至少对于传递依赖来说不是：

根据定义，Maven 中的版本是不变的。始终标志是检查新版本（就像查找新快照一样），而不是对现有版本的修改。

换句话说，如果您不删除 Nexus 存储库的内容，Nexus 将永远不会再次重新下载已发布的工件，因此您将能够使用完全相同的库重建两年前创建的产品版本。