记录一次Maven依赖传递,模块之间依赖版本不一致问题

最新推荐文章于 2024-06-25 11:01:55 发布
最新推荐文章于 2024-06-25 11:01:55 发布
阅读量4.6k 收藏 9
点赞数 6
文章标签: maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45171957/article/details/126879308
版权

前言

最近公司的项目做了一个漏洞扫描,就是扫描项目中引入的第三方maven依赖,是否有安全漏洞。而我要做的就是,根据安全漏洞,对扫描出的依赖版本,进行升级。

问题

看上去很简单,只需要照着文档。去改版本号就行了。
但其实里面也有要注意的问题,那就是maven依赖问题。

公司的项目是根据maven聚合工程开发的,有些工程是两个项目组合一起完成的。
比如一个是A工程,一个是工程B,B依赖了一个开源框架C。
而我要做的就是升级这个开源框架C的版本。
我模拟一下遇见的问题。步骤如下:

创建Project_C

创建一个工程C,模拟一个开源依赖,里面有一个Hello类,里面一个简单的方法。写好后Install到本地仓库,作为版本0。
在这里插入图片描述

再创建一个类,如下,然后去更改pom的版本号,install,这样我们这个Project_C就有两个版本了。(版本0和版本1)
在这里插入图片描述
在这里插入图片描述

创建Project_B

在B中配置C的坐标,然后把B安装到本地仓库。
在这里插入图片描述

创建Project_A

在A中导入B的坐标,此时开源看见maven中的坐标依赖关系
在这里插入图片描述

更新C的版本

现在在B中把C的版本升级,然后重新安装
在这里插入图片描述
回到Project_A后,会发现,A中引入的版本B中引入的C已经更新了。
在这里插入图片描述
这是我期望的结果,但是在实际改的过程中,我改了B中引入的C,但是A引入了B,B里面还是老版本的C。很费劲解。如下
在这里插入图片描述

原因

一开始以为是缓存的问题,但是清了缓存还是没有变化。后来发现,原来是SpringBoot的依赖问题。
SpringBoot中,默认配置了一些开源包的版本号,如果项目A里面依赖B,B依赖C,B使用了C的版本1。但是A依赖了B后,A中的SpringBoot默认C的版本是0,所以会导致依赖进来的B使用A中SpringBoot默认配置的版本。
所以我漏洞扫描老是过不了。。。。

验证一下

在A中使用dependencyManagement标签,设置C的版本号是0,你会发现,之后B中不管怎么改C的版本号,A中都永远使用A中设置的C的版本。

在这里插入图片描述

i进击的攻城狮
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
Maven模块依赖传递导致组件版本降级问题
wujize的博客
08-02 2232
将项目分为了子父子模块项目后,遇到了不少问题,还是原来单模块管理简单,但是为了项目将来能够随引用的脚手架升级而升级,还是将项目改为父子模块结构,并且尽量不修改引用脚手架的结构,将自己的应用都添加到两个新模块中。再改造后,遇到最莫名其妙的一个问题就是间接依赖引用的一个包自动降级,导致系统出问题,研究了好久才搞明白怎么回事,没有找到根本的解决方法,通过复杂的排除临时解决了问题,特此记录一下。 一、问题介绍 修改后的模块Root是根模块,组织其它模块,A、B、C是原有的模块,自己新加了两个模块一个是基础内容模块Q
maven依赖的jar包版本不一样_Maven依赖jar包冲突常见的解决方法
weixin_33037051的博客
12-23 6778
项目中,经常会遇到ClassNotFound,NoSuchMethod异常,第一反应往往是路径不对,jar没有正确的引用。第一步判断jar是否加载,还是 加载的jar由于maven依赖管理存在传递依赖,造成依赖的jar版本号不对,相应的找不到,或者是相应版本不对,没有对应的方法。一 造成jar 冲突的原因:如果项目中存在对同一jar不同版本依赖的时候,maven 2根据最近原则,默认引用最靠...
Maven dependencyManagement中的依赖版本会覆盖传递依赖版本
热门推荐
jiaobuchong的专栏
08-19 2万+
最近在项目中使用Maven遇到一个问题,明明传递依赖进来的是最新版本,但引用的还是旧版本。原来在parent pom中的dependencyManagement里指定了一个低版本依赖,然后传递进来的依赖就是低版本了。 在Maven官方文档中Introduction to the Dependency Mechanism有一段话: Dependency management - this al...
SpringBoot原理篇
weixin_44446626的博客
08-23 347
SpringBoot原理性知识
maven 重复依赖不同版本 选择规则
qq_34285557的博客
10-26 3416
maven 重复依赖不同版本 选择规则 本篇主要来看看 maven 对于 重复依赖的jar的不同版本时候 它内部的选择规则, 很多时候我们在搭建环境的时候 不注意就会存在依赖冲突等问题依赖冲突的时候 为什么maven选择了不是你如你所想的jar 版本呢 , 其实都是有一定规则的 下面来看看吧 1.前言 我们在使用maven 的时候 多多少少遇到过jar包冲突的问题, 在对一个jar包引入不同版本后,可能会导致NoSuchMethodError 错误, 那么你真的清楚 maven 在多个版本jar的时
maven引入多个版本的jar会导致的问题
小汤圆的博客
02-10 2127
当一个项目中,存在多个版本的jar,虽然pom.xml中可以做依赖排除,但是除了直接依赖还有间接依赖依赖只是包的引入,写代码时可以找到引入相关的不报错,但是程序真正执行时,具体加载哪个版本的jar并不是根据依赖来的,所以说程序在执行时,遇到多个版本,具体的加载机制pom.xml根本控制不住,要是一个项目中存在多个版本的jar,就会有各种找不到,方法找不到的异常,如:NoSuchMethodError……因为jar的版本升级迭代,不兼容各种问题,导致使用某个版本进入到某个方法后又找不到新依赖
maven依赖版本冲突怎么处理?
m0_62681080的博客
05-04 1275
maven依赖版本冲突一般是由于间接依赖导致一个jar包有多个不同的版本,比如:A依赖了B的1.0版本,C依赖了B的2.0版本,项目依赖A和C从而间接依赖了B的1.0和2.0版本,此时B有两个版本引入到了项目中,当存在版本冲突时可能会出现等错误。
Maven 下载的依赖版本引入依赖版本一致问题解决
旭东怪的博客
07-28 1万+
问题描述: 下载的依赖版本引入依赖版本一致问题分析: 1、由于当前项目先引入了spring-boot-starter-data-elasticsearch 2.4.5版本依赖,然后又引入了elasticsearch-rest-high-level-client6.1.0版本依赖,导致了elasticsearch-rest-high-level-client 里面的依赖版本一致。 <!-- ElasticSearch缓存数据库--> ...
maven依赖小例子
09-27
Maven依赖管理遵循“传递性”原则,即如果你的项目依赖A库,而A库又依赖B库,Maven会自动将B库也一并引入。这大大简化了项目的构建过程,但同时也可能导致依赖冲突,需要通过排除机制或调整依赖版本来解决。 在`...
maven继承父工程统一版本号的实现
09-07
在大型项目中,多个模块之间通常会有共同的依赖版本管理需求,这时可以使用 Maven 的继承机制来实现统一版本号的管理。本文将详细讲解如何通过 Maven 继承父工程来实现这一目标。 首先,我们需要创建一个父工程...
war-deps:示例项目演示 Maven 对战争依赖项的传递依赖项处理
06-28
演示如何通过 maven-war-plugin 在 Maven 中处理战争中的传递依赖项的示例项目。 带走的消息是: 向项目添加战争依赖项不会将战争的传递依赖项添加到路径。 为了将 war 依赖项的传递依赖项添加到路径,必须...
试试 IDEA 解决 Maven 依赖冲突的高能神器.docx
11-17
例如,如果`log4j-core`依赖了`log4j-api`的某个版本,但项目中存在其他模块也需要`log4j-api`的另一个版本,可以排除`log4j-core`中的`log4j-api`依赖,确保项目只使用期望的`log4j-api`版本: ```xml <groupId>...
maven模块项目
11-20
在实际开发中,为了确保模块间的依赖关系正确无误,我们需要对每个模块的`pom.xml`进行细心管理,确保版本一致性和依赖传递的正确性。同时,通过Maven的生命周期和命令,可以便捷地执行清理、编译、测试、打包和部署...
Maven依赖版本冲突报告
ebay的专栏
02-05 2097
Author:  Wang, Yunfeng. 简介 依赖版本冲突是一个一直以来困扰Build系统的问题,众所周知,依赖版本冲突会带来很多运行时的问题,如果能够在开发和编译阶段就识别出这些问题,将会大大提高开发人员的工作效率,并且提高产品的稳定性。 本文将着重分析一下Maven依赖版本冲突的问题,然后介绍一下目前的常见的检测和报告工具。然后提出一个依赖版本冲突报告的增强。
maven 如何引入不同版本_Maven--项目管理工具(二)
weixin_39815345的博客
11-21 1209
Maven】☞Maven入门教程-Maven项目实战☜六、Maven项目中pom配置文件的使用1. pom文件的作用在maven项目中,通过maven来获取和管理第三方的资源。每个maven项目默认是有一个pom文件的。该文件是用来告诉maven当前项目中需要使用的资源的,该文件会被maven自动加载识别。我们需要在pom配置文件中声明需要使用的资源的坐标即可。注意:当pom文件被修改的时候,m...
Maven模块依赖版本一致问题
bumoshi21的博客
10-18 1612
解决maven模块版本依赖一致问题
maven项目引用新模块依赖的jar包与新模块中的jar包版本一致
weixin_39755019的博客
08-07 4607
历时一天终于解决了这个磨人的问题,先来说下我们的需求: 我们公司扫出我们的jar包有漏洞,经查明是因为版本过低,官方已经做了修复,只需要把版本提上来就可以了,原以为很简单,就在被引用项目中把版本升了,很自信(fu)的把代码交了,没想到在引用项目没生效,还是之前的低版本,各种找问题,吐血的那种,最后终于发现是依赖传递的优先级问题。贴一段官方文档的解释: Dependency management - this allows project authors to directly specify the
maven模块依赖版本一致问题
靖节先生的博客
07-02 7997
maven模块依赖版本一致问题1. 问题描述2. 问题分析3. 解决方案4.项目pom4.1 父依赖模块test-common依赖模块test-web依赖 1. 问题描述 记录一个很有意思的问题,父工程A下边两个模块B与C,B依赖6.0.16.Final版本hibernate-validator,C依赖B,但是C中hibernate-validator版本竟然是6.2.0.Final。 如图所示: 2. 问题分析 原因是在父spring-boot-starter-parent的spring-b
Maven 父子pom依赖编译报错‘parent.relativePath‘相关的问题如何解决
最新发布
醉鱼的博客
06-25 346
今天简单的水一篇,在微服务的项目开发中,新增模块有的同事就会在不注意的情况下触发该隐藏bug,导致无法打包。所以解决就是除了根据提示信息查看是否有错误之外,还要查看父子pom的版本号是否对应,千万不要想当然。WX 搜索《醉鱼Java》,回复面试,获取2024面试资料。如果这篇文章对您有所帮助或者启发,帮忙点个关注叭,您的支持是我坚持写作的最大动力。
maven如何对不同版本依赖进行管理
07-17
对于不同版本依赖管理,Maven提供了一些机制来解决冲突和管理依赖版本。下面是一些常用的方法: 1. 显式声明依赖版本:在项目的pom.xml文件中,可以通过在<dependencies>标签中为每个依赖项指定特定的版本号,例如: ```xml <dependency> <groupId>com.example</groupId> <artifactId>my-library</artifactId> <version>1.0.0</version> </dependency> ``` 2. 排除冲突的依赖:如果在项目中出现了依赖冲突,可以使用<exclusions>标签来排除特定的传递依赖。例如: ```xml <dependency> <groupId>com.example</groupId> <artifactId>my-library</artifactId> <version>2.0.0</version> <exclusions> <exclusion> <groupId>com.example</groupId> <artifactId>conflicting-library</artifactId> </exclusion> </exclusions> </dependency> ``` 3. 使用依赖管理:可以在pom.xml文件中使用<dependencyManagement>标签来集中管理依赖版本。通过在<dependencyManagement>中声明依赖版本号,然后在<dependencies>中引用它们,可以确保所有模块都使用相同的版本。例如: ```xml <dependencyManagement> <dependencies> <dependency> <groupId>com.example</groupId> <artifactId>my-library</artifactId> <version>1.0.0</version> </dependency> </dependencies> </dependencyManagement> <dependencies> <dependency> <groupId>com.example</groupId> <artifactId>my-library</artifactId> </dependency> </dependencies> ``` 这样,在项目的任何模块中,可以省略版本号,Maven将使用<dependencyManagement>中指定的版本。 这些方法可以帮助你管理不同版本依赖并解决冲突。根据你的具体需求,选择适合的方法进行依赖管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

i进击的攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值