Как я могу избежать уведомления поставщиков о нескольких источниках, когда у меня есть все драгоценные камни в моем .gemspec?

В моем собственном камне у меня есть Gemfile, который выглядит в основном следующим образом:

source 'https://my.gemserver.com'
source 'https://rubygems.org'

gemspec

My .gemspec имеет все зависимости, перечисленные как add_dependency и add_development_dependency.

Как и у Bundler 1.8, я получаю предупреждение:

Warning: this Gemfile contains multiple primary sources. Using `source` more than
once without a block is a security risk, and may result in installing unexpected gems.
To resolve this warning, use a block to indicate which gems should come from the
secondary source. To upgrade this warning to an error,
run `bundle config disable_multisource true`.

Есть ли способ разрешить это предупреждение (без отключения через конфигурацию пакета)? Я не могу найти ничего об исходном параметре в спецификации Rubygems.

ОТВЕТЫ

Ответ 1

Нет, вам нужно либо отключить предупреждение, либо добавить исходный блок в Gemfile с конкретными камнями, которые вы хотите получить с вашего личного сервера. Нет необходимости дублировать те, которые поступают из rubygems.org (или вы могли бы сделать это наоборот, если вы зависите от более частных драгоценных камней, чем от обычных, а ваши частные драгоценные камни сами по себе не зависят от общедоступных).

Проблема заключается в том, что формат gemspec не поддерживает указание источника для каждого драгоценного камня, поэтому, не дублируя их в Gemfile, нет способа указать, какие драгоценные камни поступают из каждого источника.

Ответ 2

Грустно, но нужно переместить его в Gemfile: - (

Gemfile:

source 'https://my.gemserver.com' do
  your_gem1
  your_gem2
  #...
end

source 'https://rubygems.org'

gemspec

но затем, если некоторые из ваших драгоценных камней должны быть включены в группу :development или :test, следующие могут быть использованы

Gemfile:

your_gem1, :source => 'https://my.gemserver.com'
#...
group :development do
  your_gem2, :source => 'https://my.gemserver.com'
  #...
end

source 'https://rubygems.org'

gemspec

Ответ 3

Чтобы подробно обсудить обсуждение проблемы bundler, как указывали предыдущие ответы, вы должны включить в себя драгоценный камень Gemfile. Однако вам нужно указать версию драгоценного камня в .gemspec. Если вы меняете версии чаще, чем частные зависимости, это не ужасное решение.

Ссылка на драгоценный камень без версии в Gemfile:

# Gemfile
source 'https://rubygems.org'

source 'https://[email protected]/me/' do
  gem 'my-private-dependency'
end

gemspec

Ссылка на драгоценный камень со спецификацией версии в .gemspec:

# my-gem.gemspec
lib = File.expand_path('../lib', __FILE__)
$LOAD_PATH.unshift(lib) unless $LOAD_PATH.include?(lib)

Gem::Specification.new do |spec|
  spec.add_dependency 'my-private-dependency', '~> 0.1.5'
end