记录一次Maven依赖传递,模块之间依赖版本不一致问题

举报
i进击的攻城狮 发表于 2022/09/15 22:48:11 2022/09/15
【摘要】 前言最近公司的项目做了一个漏洞扫描,就是扫描项目中引入的第三方maven依赖,是否有安全漏洞。而我要做的就是,根据安全漏洞,对扫描出的依赖版本,进行升级。 问题看上去很简单,只需要照着文档。去改版本号就行了。但其实里面也有要注意的问题,那就是maven依赖问题。公司的项目是根据maven聚合工程开发的,有些工程是两个项目组合一起完成的。比如一个是A工程,一个是工程B,B依赖了一个开源框架C...

前言

最近公司的项目做了一个漏洞扫描,就是扫描项目中引入的第三方maven依赖,是否有安全漏洞。而我要做的就是,根据安全漏洞,对扫描出的依赖版本,进行升级。

问题

看上去很简单,只需要照着文档。去改版本号就行了。
但其实里面也有要注意的问题,那就是maven依赖问题。

公司的项目是根据maven聚合工程开发的,有些工程是两个项目组合一起完成的。
比如一个是A工程,一个是工程B,B依赖了一个开源框架C。
而我要做的就是升级这个开源框架C的版本。
我模拟一下遇见的问题。步骤如下:

创建Project_C

创建一个工程C,模拟一个开源依赖,里面有一个Hello类,里面一个简单的方法。写好后Install到本地仓库,作为版本0。
在这里插入图片描述

再创建一个类,如下,然后去更改pom的版本号,install,这样我们这个Project_C就有两个版本了。(版本0和版本1)
在这里插入图片描述
在这里插入图片描述

创建Project_B

在B中配置C的坐标,然后把B安装到本地仓库。
在这里插入图片描述

创建Project_A

在A中导入B的坐标,此时开源看见maven中的坐标依赖关系
在这里插入图片描述

更新C的版本

现在在B中把C的版本升级,然后重新安装
在这里插入图片描述
回到Project_A后,会发现,A中引入的版本B中引入的C已经更新了。
在这里插入图片描述
这是我期望的结果,但是在实际改的过程中,我改了B中引入的C,但是A引入了B,B里面还是老版本的C。很费劲解。如下
在这里插入图片描述

原因

一开始以为是缓存的问题,但是清了缓存还是没有变化。后来发现,原来是SpringBoot的依赖问题。
SpringBoot中,默认配置了一些开源包的版本号,如果项目A里面依赖B,B依赖C,B使用了C的版本1。但是A依赖了B后,A中的SpringBoot默认C的版本是0,所以会导致依赖进来的B使用A中SpringBoot默认配置的版本。
所以我漏洞扫描老是过不了。。。。

验证一下

在A中使用dependencyManagement标签,设置C的版本号是0,你会发现,之后B中不管怎么改C的版本号,A中都永远使用A中设置的C的版本。

在这里插入图片描述

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。