记录一次Maven依赖传递,模块之间依赖版本不一致问题

最新推荐文章于 2025-03-24 21:28:28 发布
最新推荐文章于 2025-03-24 21:28:28 发布
阅读量5.7k 收藏 14
点赞数 9
文章标签: maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45171957/article/details/126879308
版权

前言

最近公司的项目做了一个漏洞扫描,就是扫描项目中引入的第三方maven依赖,是否有安全漏洞。而我要做的就是,根据安全漏洞,对扫描出的依赖版本,进行升级。

问题

看上去很简单,只需要照着文档。去改版本号就行了。
但其实里面也有要注意的问题,那就是maven依赖问题。

公司的项目是根据maven聚合工程开发的,有些工程是两个项目组合一起完成的。
比如一个是A工程,一个是工程B,B依赖了一个开源框架C。
而我要做的就是升级这个开源框架C的版本。
我模拟一下遇见的问题。步骤如下:

创建Project_C

创建一个工程C,模拟一个开源依赖,里面有一个Hello类,里面一个简单的方法。写好后Install到本地仓库,作为版本0。
在这里插入图片描述

再创建一个类,如下,然后去更改pom的版本号,install,这样我们这个Project_C就有两个版本了。(版本0和版本1)
在这里插入图片描述
在这里插入图片描述

创建Project_B

在B中配置C的坐标,然后把B安装到本地仓库。
在这里插入图片描述

创建Project_A

在A中导入B的坐标,此时开源看见maven中的坐标依赖关系
在这里插入图片描述

更新C的版本

现在在B中把C的版本升级,然后重新安装
在这里插入图片描述
回到Project_A后,会发现,A中引入的版本B中引入的C已经更新了。
在这里插入图片描述
这是我期望的结果,但是在实际改的过程中,我改了B中引入的C,但是A引入了B,B里面还是老版本的C。很费劲解。如下
在这里插入图片描述

原因

一开始以为是缓存的问题,但是清了缓存还是没有变化。后来发现,原来是SpringBoot的依赖问题。
SpringBoot中,默认配置了一些开源包的版本号,如果项目A里面依赖B,B依赖C,B使用了C的版本1。但是A依赖了B后,A中的SpringBoot默认C的版本是0,所以会导致依赖进来的B使用A中SpringBoot默认配置的版本。
所以我漏洞扫描老是过不了。。。。

验证一下

在A中使用dependencyManagement标签,设置C的版本号是0,你会发现,之后B中不管怎么改C的版本号,A中都永远使用A中设置的C的版本。

在这里插入图片描述

Maven】多模块依赖管理
阿杰
01-24 1329
有些微服务是使用父子模块的形式进行开发的,那么依赖的管理是必可少的 依赖管理 可选继承 将向下继承设置为可选,A模块引用B模块,B模块引用C模块,默认情况下,A会将B、C全部引用,但是这样可能会有问题,因为有些模块可能需要,这样的话还需要排除依赖,是很方便的 利用 <optional>true</optional> 实例 <dependency> <groupId>org.springframework.cloud</g
编程羔手解决Maven引入多个版本依赖包,导致包冲突了
羔才生编程村
12-30 2148
Maven 项目中,当同的依赖模块引入 Hutool 的版本时,可能会导致冲突和运行时错误。例如以上图中的justauth的包,引用了旧的hutool的包。把它排除,并刷新maven重新引入,就可以解决。确保将冲突的 Hutool 依赖在每个模块依赖中排除,这样可以防止模块间的版本冲突。如果是最新版是旧版就很有可能冲突,或者你直接看Exteranl Libraries。首先,先看看这个方法调用的是哪个包的方法。文件中,对引起冲突的 Hutool 依赖使用。
Maven中为什么有些依赖引入版本
最新发布
2301_80420495的博客
03-24 391
若项目有父 POM,并且父 POM 里定义了依赖版本号,子项目就能够直接使用该依赖,无需再指定版本号。标签,此标签里定义了一系列常用依赖版本。时,就能使用这些预定义的版本,无需再次指定。Spring Boot 的。部分,可能已经定义了。可以通过下面的方式查看。
Maven 下载的依赖版本引入依赖版本一致问题解决
热门推荐
旭东怪的博客
07-28 1万+
问题描述: 下载的依赖版本引入依赖版本一致问题分析: 1、由于当前项目先引入了spring-boot-starter-data-elasticsearch 2.4.5版本依赖,然后又引入了elasticsearch-rest-high-level-client6.1.0版本依赖,导致了elasticsearch-rest-high-level-client 里面的依赖版本一致。 <!-- ElasticSearch缓存数据库--> ...
maven依赖的jar包版本一样_Maven依赖jar包冲突常见的解决方法
weixin_33037051的博客
12-23 7254
项目中,经常会遇到ClassNotFound,NoSuchMethod异常,第一反应往往是路径对,jar没有正确的引用。第一步判断jar是否加载,还是 加载的jar由于maven依赖管理存在传递依赖,造成依赖的jar版本对,相应的到,或者是相应版本对,没有对应的方法。一 造成jar 冲突的原因:如果项目中存在对同一jar版本依赖的时候,maven 2根据最近原则,默认引用最靠...
maven模块依赖版本一致问题
靖节先生的博客
07-02 8436
maven模块依赖版本一致问题1. 问题描述2. 问题分析3. 解决方案4.项目pom4.1 父依赖模块test-common依赖模块test-web依赖 1. 问题描述 记录一个很有意思的问题,父工程A下边两个模块B与C,B依赖6.0.16.Final版本hibernate-validator,C依赖B,但是C中hibernate-validator版本竟然是6.2.0.Final。 如图所示: 2. 问题分析 原因是在父spring-boot-starter-parent的spring-b
maven依赖版本冲突怎么处理
name666666的博客
03-09 2188
maven依赖版本冲突怎么处理
maven 传递依赖
xujinwei_gingko的专栏
08-11 387
由于Keval 是在metrics-api工程里面,所以传递依赖后,modeling-support对上述语句编译没问题,但是无法执行Keval.eval ,因为执行此代码需要mvel2的包,然而modeling-facade 工程已经排除了,所以modeling-support 工程也就没有这个jar,进而运行出错。1、maven 传递依赖scope=compile的包,比如:工程A依赖工程B,工程B依赖工程C,那么A工程的jar包含工程C中scope=compile的包。
Maven模块依赖传递导致组件版本降级问题
wujize的博客
08-02 2476
将项目分为了子父子模块项目后,遇到了问题,还是原来单模块管理简单,但是为了项目将来能够随引用的脚手架升级而升级,还是将项目改为父子模块结构,并且尽量修改引用脚手架的结构,将自己的应用都添加到两个新模块中。再改造后,遇到最莫名其妙的一个问题就是间接依赖引用的一个包自动降级,导致系统出问题,研究了好久才搞明白怎么回事,没有找到根本的解决方法,通过复杂的排除临时解决了问题,特此记录一下。 一、问题介绍 修改后的模块Root是根模块,组织其它模块,A、B、C是原有的模块,自己新加了两个模块一个是基础内容模块Q
maven依赖小例子
09-27
Maven依赖管理遵循“传递性”原则,即如果你的项目依赖A库,而A库又依赖B库,Maven会自动将B库也一并引入。这大大简化了项目的构建过程,但同时也可能导致依赖冲突,需要通过排除机制或调整依赖版本来解决。 在`...
Maven 依赖之最佳实践.pdf
06-08
总结来说,Maven依赖管理的最佳实践包括理解依赖范围、合理利用传递依赖、排除需要的依赖、使用依赖管理统一项目中特定库的版本、使用常量以减少重复和错误、并采用模块化的方式来组织项目结构。这些实践有助于...
Maven模块依赖版本一致问题
bumoshi21的博客
10-18 1821
解决maven模块版本依赖一致问题
Maven间接依赖出现依赖版本一致问题
青青橙的博客
06-07 3935
我的项目结构: Root 项目    |–A 模块        |–B 模块 Root最顶层父模块引入了 A,A 引入了 B。 我在 B 模块引入了 hive-jdbc 依赖,甭管是什么吧,指定版本 3.1.0。 结果发现 A 模块中 hive-jdbc 版本一直是 1.2.1。找来找去,各种查顺序,maven 引入依赖是有顺序的。没发现哪儿还引了 hive-jdbc。 最后发现在 Root 的 pom
Maven采坑:依赖版本问题
weixin_39817683的博客
02-28 667
说明:当一个父pom中的dependencyManagement 标签中需要导入另一个pom中的dependencyManagement的时候,必须同时使用import 和 pom。由于本级优先于上级,上级优先于下级的加载原则,B中的redisson版本实际上是由A2指定的,因为使用import后A1和A2等于都是上级pom。明明二方件中指定了redisson版本未3.24.0,但微服务引入二方件时,redisson版本永远是3.16.8。同下级jar中依赖版本,优先使用先加载下级jar中的版本
maven依赖jar包时版本冲突的解决
zhaoshuangjian
05-07 3484
maven依赖jar包时版本冲突的解决
Maven项目中的依赖出现版本冲突,最终发现是对Dependency Scope理解有误
二蛋的博客
04-06 2237
通过这次版本冲突问题,让我意识到我对maven的了解远远够。平时只是对其使用,出现冲突直接解决,并会去深究为什么。也是通过这次的问题让我对maven多了点了解,让我对解决问题的方式更加深刻:遇到问题要上来就百度😂,要学会分析、要学会在官网上寻找问题所在,要对一个知识有全面的了解。
maven依赖的jar包版本一样_maven 由于传递依赖导致的引入版本jar包导致classnotfind异常问题解决-Fun言...
weixin_30311521的博客
12-23 1414
maven导入jar包时,可能由于同jar包之间依赖版本的另外的jar包,会导致classnotfind异常。举个我遇到的例子:org.glassfish.jersey.containersjersey-container-netty-http2.26org.apache.hbasehbase-client2.1.0<如上,我引入上面两个包时,Channel server = Net...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

i进击的攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值