从公司gitlab获取所有依赖的jar包坐标

最新推荐文章于 2024-08-09 07:11:23 发布
最新推荐文章于 2024-08-09 07:11:23 发布
阅读量3k 收藏 3
点赞数
分类专栏: 问题解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingyulanye/article/details/76982677
版权
本文档介绍了如何通过GitLab API获取公司所有Java项目的依赖Jar包坐标,以解决安全专员需要快速查找项目依赖并监控潜在安全漏洞的问题。文中详细描述了从最初的直接从GitLab拷贝代码到改进后的通过API获取项目信息和依赖的过程,并提供了相关代码片段和执行策略。
摘要由CSDN通过智能技术生成

从公司gitlab获取所有java项目依赖的jar包坐标

背景

公司“安全专员”想方便的拿到公司所有java项目依赖的jar包坐标,方便他从“论坛”上发现什么jar存在安全漏洞时,及时知道我们公司是否也有对该jar包的依赖,以及对应的项目和负责人。

分析

我们内部代码管理工具是gitlab,采用master分支发布,只需分析master依赖即可。

思路是先拿到所有项目的代码,然后通过maven dependency插件获取到依赖的jar包坐标,然后分析出其中jar包坐标整理到文档中。最好也拿到项目的负责人信息。

初步想到步骤:

  1. 从内部gitlab机器用盘上拷贝
  2. 执行mvn dependency:tree --log-file xxx
  3. 从产生的日志中分析出依赖的jar坐标

这个想想都觉得慢的受不了,好几个G的小文件,光从用盘上拷贝都要花费不少时间。

另外直接执行maven dependency:tree也不能成功,因为依赖的本项目中的其他module不存在,需要先打包。

另外拿不到项目负责人信息。

改进版本一:

  1. 通过gitlab api拿到所有项目信息,包括负责人信息,每个执行git clone xxx得到所有代码,再次执行时执行git pull origin master
  2. 执行mvn clean package -Dmaven.test.skip=true -Dmaven.javadoc.skip=true dependency:tree --log-file xxx
  3. 从产生的日志中分析出依赖的jar坐标

能够拿到应用负责人信息,但仍然慢的让人崩溃。

另外有些项目执行mvn package因为代码原因会失败,导致mvn dependency:tree无法继续执行。

改进版本二:

  1. 通过gitlab api拿到所有项目信息,包括负责人信息, 通过gitlab api下载每个项目master分支中的所有pom.xml
  2. 对于根目录存在pom.xml的项目执行mvn install -f xxx/xxx/pom.xml,web模块通常会失败,不过没关系, 其他模块成功就行。
  3. 执行mvn dependency:tree -f xxx/xxx/pom.xml
  4. 使用apachecommons-exec执行dependency:tree命令,同时分析产生的日志。

第二步对只有pom.xml的项目执行mvn installweb模块通常会失败,不过没关系,需要的是其他模块,因为执行mvn dependency:treeweb模块需要依赖到其他模块。

一两百个java项目,2核的机器20多分钟跑完,产生结果,基本满意。
也可以继续优化下,借助jprofiler等工具找到耗时点、调整执行线程池大小等。

代码

maven依赖

 <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-exec</artifactId>
            <version>1.3</version>
        </dependency>
        <dependency>
            <groupId>org.gitlab4j</groupId>
            <artifactId>gitlab4j-api</artifactId>
            <version>4.4.3</version>
        </dependency>

代码片段说明

Pattern pattern = Pattern.compile("(([\\w\\-\\.\\d]+):([\\w\\-\\.
最低0.47元/天 解锁文章
JackJings
关注
专栏目录
java 获取 jar 包内文件列表
素手亦锋的博客
04-13 1984
获取 jar 包内文件列表,使用 JarFile。下面是我的测试类: package com.zd.test1; import java.io.File; import java.io.FileFilter; import java.io.IOException; import java.util.Enumeration; import java.util.jar.JarEntry; impo
maven五:查找jar包坐标,选择jar包版本
热门推荐
JAVA博客
01-14 1万+
查找jar包坐标 以spring core的jar包为例,访问http://www.mvnrepository.com/    在最上方中间,输入spring core,点击Search。 搜索结果第一个就是,点击spring core 有很多版本,这里点击4.3.5.RELEASE 点击maven栏里面的内容,允许访问,会复制到剪贴板 然后直接粘贴到pom.xml文件的
GitLab4J-API 使用教程
最新发布
gitblog_01174的博客
08-09 498
GitLab4J-API 使用教程 gitlab4j-apiGitLab4J API (gitlab4j-api) provides a full featured Java client library for working with GitLab repositories via the GitLab REST API项目地址:https://gitcode.com/gh_mirrors/...
jar包坐标怎么写?
于小猿的博客
07-14 1114
什么是jar包坐标? 当我们使用Maven开发一个项目时,需要向项目中导入很多个jar包,这些jar包不需要我们自己一个个的导入,只需要在创建的项目中的pom.xml文件中写上需要的jar包坐标,Maven就能从网上自动帮我们找到这个jar包并下载到本地仓库中。在实际的项目开发中,这些工作都是由项目经理提前帮我们做好的,但是如果自己做的项目,就需要自己写各个jar包坐标,以下是写jar包坐标的方法: 1、打开浏览器,输入:https://mvnrepository.com/ 2、在搜索框中输入
常用jar包坐标
wzzzj的博客
05-27 387
<dependencies> <!--连接mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.24</version> ...
Maven项目中常用jar包坐标以及用法(个人总结)
时间静止
08-04 6387
java高级技术中常用jar 的坐标 junit介绍坐标log4j介绍坐标Mybatis介绍坐标mybatis-spring介绍坐标MySql介绍坐标druid(数据库连接池)介绍坐标spring+springmvc框架介绍坐标jstl+servlet-api+jsp-api介绍坐标commons-fileupload介绍坐标commons-net介绍坐标jackson-databind介绍坐标...
maven仓库 org开头的jar
05-25
在Maven的仓库中,我们经常会看到以`org`开头的jar包,这是因为`org`是Maven的一个顶级组织命名空间,通常代表开源组织或公司。在Java生态系统中,许多知名的开源库和框架都遵循这个命名约定,如Spring、Apache、...
appche-maven
08-16
1. **合理规划POM**: 保持POM简洁,避免冗余信息,确保所有依赖都有明确的版本。 2. **使用版本管理**: 对于共享库,应创建自己的内部仓库,并使用SNAPSHOT版本进行迭代开发。 3. **定期清理**: 定期执行`mvn clean`...
Maven详解及实践应用.zip
06-07
2. **仓库**:Maven使用仓库来存储依赖的JAR文件,包括本地仓库(Local Repository)和远程仓库(Remote Repository)。Maven首先会查找本地仓库,如果找不到则会自动从远程仓库下载。 3. **坐标**:每个Maven项目...
Maven实战2_maven_
09-30
3. **依赖管理(Dependency Management)**:Maven通过POM管理项目依赖关系,自动下载所需的库文件,避免了手动管理jar包的繁琐工作。 4. **生命周期(Lifecycle)**:Maven有一套预定义的构建生命周期,包括clean...
gitlab api封装,简单便捷操作gitlab
12-05
方便操作gitlab,进一步封装gitlab api 以及http网络请求。
javaapi和源码-gitlab-java-integration:一个通过Gitlab4JAPI连接到Gitlab并确实更新其中源代码并留
05-19
java api和源码项目概况 gitlab-java-integration ,是一个项目,它通过Gitlab4J Java API连接到Gitlab源存储库,并在其中更新了源代码并留下了提交消息。 对于希望在Gitlab中以编程方式访问其源代码库的初学者来说,这是一个非常有用的参考。 依赖Gitlab4J jar文件 该项目依赖Gitlab4J jar文件与Gitlab源代码库进行交互。 请访问以获取更多信息。 为依赖文件构建Gitlab4J Gitlab4J公开了pom.xml ,可用于通过maven构建依赖的jar文件。 要使用的命令是mvn clean -DskipTests dependency:copy-dependencies package 。 -DskipTests用于跳过与Gitlab4J存储库捆绑在一起的单元测试。 深潜 Gitlab-项目结构 我在Gitlab.com免费帐户中创建了几个项目。 在此项目中,它们的外观如下图所示。 我们将使用绿色的gitlab4j-demo-project 。 该项目中只有一个名为“ stocks”的文件夹,该文件夹将包含两
常用的jar包【maven坐标格式】
罗铠威的博客
08-21 1042
本篇博客主要以介绍常用的jar包【maven坐标格式】
如何查找jar在Maven中的坐标
zhousheng193的专栏
04-15 1137
因项目需要,需要在maven的pom.xml中加入derby的相关信息,比如在外网的坐标,可以通过如下途径查找:   进入http://www.mvnrepository.com/   也可以通过http://search.maven.org/#browse%7C47进行查找   然后再搜索栏中输入  “derby”  查找即可   选择第一个链接   再  点击  “10...
Maven查找jar包依赖坐标
bianezhuang8827的博客
02-22 1025
查找出具体jar包依赖 找出 gropuId, artifactId 如图所示 这里的groupid,artifactId用冒号分割的。上图中看出来该jar包所对应pom.xml配置的groupId和artifactId为org.mybatis:mybatis,中间是冒号分隔的。所以我们要搜索的就是这个groupId和artifactId。直接将org.mybatis:mybatis 放到查询条件上,执行命令。 执行查找命令 mvn dependency:tree -Dverbose -Dinclude
Java--如何快速查找想要使用的jar包pom坐标
stalin_的博客
11-14 3191
很多时候,我们在决定了使用什么技术的时候,往往不知道当前最好使用哪个版本的pom坐标,这时我们盲目去百度可能需要花费很多时间去找合适的pom版本。那么这里有一种很方便的方式值得大家使用。 1、首先我们打开https://mvnrepository.com/ ![在这里插入图片描述](https://img-blog.csdnimg.cn/9e863e94934b4d1d9f512d83f5e88ae0.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZm
获取git项目依赖模块代码
weixin_30662109的博客
11-07 916
git submodule update --init 转载于:https://www.cnblogs.com/gavinhe/p/9926156.html
工具包中的小工具------包扫描(包括jar包
quique的博客
07-18 298
今天的工具功能是包扫描,只需要调用指定方法,输入想要查询的包名称,就可以自动查询得到该路径下所有的类(包括jar包),该工具实现了一个抽象方法供使用者使用,用这个方法可以去筛选该包下的类达到自己的目的。 package com.mec.mpring.core; import java.io.File; import java.io.IOException; import java.net.JarURLConnection; import java.net.URISyntaxException; impor
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值