maven 依赖机制

最新推荐文章于 2024-05-03 14:50:22 发布
最新推荐文章于 2024-05-03 14:50:22 发布
阅读量560 收藏 6
点赞数 3
文章标签: maven java 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/137151663
版权

安全工程师为啥关注maven依赖

log 4j事件之后,大家开始更加关注开源组件安全漏洞这个事。纷纷引入SCA 软件成分分析工具来识别项目中存在的开源组件和漏洞。

在sca工具扫描之后,会报出一大堆组件,review这个事就是安全团队投入时间来研判了。

对maven项目,工具会报出直接依赖,间接依赖,一层一层又一次,子子孙孙。。。。

那么是否工具报出的所有组件都是产品sbom的一部分呢?哪些子孙可以忽略了。。。

maven依赖机制

项目A 依赖了B组件,用的x版本

项目A 同时依赖了C组件,C组件又依赖了B的Y版本,

请问 A项目依赖了B组件的哪些版本?x or Y or both?

最近原则

当遇到多个版本作为依赖关系时,将选择项目的哪个版本。Maven 选择“最接近的定义”。也就是说,它使用依赖关系树中与项目最接近的依赖项的版本。您始终可以通过在项目的 POM 中显式声明版本来保证版本。请注意,如果两个依赖项版本在依赖项树中的深度相同,则第一个声明优先。

A、B 和 C 的依赖关系定义为 A -> B -> C -> D 2.0 和 A -> E -> D 1.0,然后在构建 A 时使用 D 1.0,因为从 A 到 D ,走 E 的路径更短。

如果一定要用D2.0 怎么办呢,构造一条新的路径,让到D2.0的路径最短,强制用D2.0

Excluded dependencies

如果X依赖于Y,Y依赖于Z, X的作者可以把Z排除在外, 用exclusion

下图就是把io.netty排除在外了

所以 加入netty版本有漏洞, 除了升级,也可以排除

option

如果项目Y依赖于项目Z,项目Y的所有者可以使用“Optional”元素将项目Z标记为可选依赖。当项目X依赖于项目Y时,X将只依赖于Y而不依赖于Y的可选依赖项Z。项目X的所有者可以根据自己的选择显式地添加对Z的依赖项。可以理解为默认排除掉了

以上

犬大犬小
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chm版本Maven教程
07-25
Maven依赖机制 定制库到Maven本地资源库 使用Maven创建Java项目 使用Maven创建Web应用程序项目 Maven POM Maven 构建生命周期 Maven 构建配置文件 Maven存储库 Maven插件 Maven创建Java项目 使用Maven构建和测试Java...
maven依赖机制简介
weixin_38038479的博客
12-23 443
maven依赖机制官方文档 文章目录1,依赖性调解2,依赖关系管理3,依赖范围4,排除依赖项5,可选依赖项 可传递的依赖maven 会自动包含那些你直接依赖的库所需要的依赖库,前提是那些被简介依赖的库是可传递的; 基于这个特性,需要有以下这些规定:(解决版本冲突) 1,依赖性调解 决定了当遇到多个版本作为依赖项时,哪个版本作为依赖项。默认的是 "最接近定义"; a->b->c->d1 a->e->d2 d2离a 比 d1离 a 近,则 d2被作为依赖版本 a->b-&
Maven依赖机制
搬砖小工053
07-27 358
Maven 依赖机制的帮助下自动下载所有必需的依赖库,并保持版本升级。案例分析让我们看一个案例研究,以了解它是如何工作的。假设你想使用 Log4j 作为项目的日志。这里你要做什么?传统方式 访问 http://logging.apache.org/log4j/ 下载 Log4 j的 jar 库 复制 jar 到项目类路径 手动将其包含到项目的依赖 所有的管理需要一切由自己做 如果有 Log4j
Maven 依赖机制
weixin_44684812的博客
10-28 231
Maven 依赖机制(三) 在 Maven 依赖机制的帮助下自动下载所有必需的依赖库,并保持版本升级。 Log4j 作为项目的日志,作为例子。 传统方式 访问 http://logging.apache.org/log4j/ 下载 Log4j 的 jar 库 复制 jar 到项目类路径 手动将其包含到项目的依赖 所有的管理需要一切由自己做 如果有 Log4j 版本升级,则需要重复上述步骤一次...
maven仲裁机制_Maven依赖机制理解
weixin_39695954的博客
12-24 150
假设一个项目需要用到日志组件Log4j,那么有如下方式添加这个组件。一、传统方式:2、拷贝jar包到项目的lib目录,或者eclipse中指定依赖目录。3、当有新版的Log4j更新,以上方式就要重新做一次。那么问题来了,像Log4j这样的包管理工作就必须自己去配置,假设一个项目有十几个依赖包,那么上面的方式工作量就是相当庞大的。二、Maven方式:为了解决上面的弊端,使用Maven方式将很快的解决...
maven递归编译_Maven依赖机制简介
weixin_39621794的博客
12-21 707
依赖机制Maven最为用户熟知的特性之一,同时也是Maven所擅长的领域之一。单个项目的依赖管理并不难,但是当你面对包含数百个模块的多模块项目和应用时,Maven能帮你保证项目的高度控制力和稳定性。大纲:传递性依赖排除、可选依赖依赖范围依赖管理导入依赖系统依赖传递性依赖传递性依赖Maven2.0的新特性。假设你的项目依赖于一个库,而这个库又依赖于其他库。你不必自己去找出所有这些依赖,你只需要加...
java maven依赖_《Maven官方文档》-Maven依赖机制简介
weixin_29452603的博客
02-12 714
maven依赖生效机制
xgmxgmxgmxgm的博客
08-09 317
maven依赖生效机制
maven依赖机制依赖管理
zhendong_Z
04-24 911
maven依赖机制依赖管理 依赖性传递: 依赖调解: 当项目中出现多个版本构件依赖的情形,依赖调解决定最终应该使用哪个版本。当然,你也可以在项目POM文件中显式指定使用哪个版本。从Maven 2.0.9开始,POM中依赖声明的顺序决定了哪个版本会被使用,也叫作”第一声明原则”。 “短路径优先”意味着项目依赖关系树中路径最短的版本会被使用。例如,假设A、B、C之间的依赖关系是A-&...
Maven依赖机制-参考官方文档
weixin_39400721的博客
08-11 314
Maven 依赖机制 一来管理是 Maven 的核心功能。Maven 在定义,创建和维护具有明确定义的类路径和库版本的可复制构建方面大有帮助。 传递依赖关系 Maven 通过自动包含传递性依赖关系,避免了发现和指定你自己的依赖关系所需库的需要(官方文档里的说法)。 也就是说,Maven会根据你引入 pom 的依赖来自动管理各依赖之间的关系,而它们有可能是继承自父项目或者它本身。因此可能会有多个不同版本的同一依赖,然而只有在发生循环依赖的时候才会产生问题。 Maven 自身包含一些功能来限制引入哪些依赖项:
apache-maven-3.9.5-bin windows 64bit x86下载
11-17
4、插件系统:Maven支持插件机制,你可以自定义插件来扩展Maven的功能。Maven自带了许多常用的插件,如编译、测试、打包插件等。 5、文档生成:Maven可以使用插件来生成项目的文档,如JavaDoc文档、站点文档等。 6...
Maven介绍安装和配置详解
12-26
2. **依赖管理**:Maven可以自动管理项目的依赖项,开发者只需要在pom.xml文件中指定依赖项的坐标,Maven就会自动下载并管理这些依赖项。 3. **自动化构建**:通过简单的命令行指令,Maven可以自动化地完成编译、...
maven window下安装包
11-01
第6章:仓库/6.6 从仓库解析依赖机制 第6章:仓库/6.7 镜像 第6章:仓库/6.8 仓库搜索服务/6.8.1 Nexus搜索 第6章:仓库/6.8 仓库搜索服务/6.8.2 Jarvana搜索 第6章:仓库/6.8 仓库搜索服务/6.8.3 MVNbrowser搜索 ...
多种方法解决Maven Jar包冲突引入后报错问题.docx
07-03
这样的问题如果不熟悉maven依赖机制的同学排查起来,估计挺头痛的。 而且maven依赖结构不好的项目,在引入新的Jar包时的风险也是巨大的。小则影响性能,大则引起生产发布和运行时异常。 其实以上问题的根源都来自于...
Maven Could not transfer artifact org.apache.maven.plugins(刚刚创建的项目添加maven依赖报错)
最新发布
weixin_46176940的博客
05-03 343
Maven Could not transfer artifact org.apache.maven.plugins
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1056
介绍了Java泛型中的重要知识点——通配泛型及其应用。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 501
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
springboot 获取maven打包时间
I do more ,you do less
04-30 494
【代码】springboot 获取maven打包时间。
maven依赖传递性
09-22
Maven 依赖传递性是指当一个项目依赖于其他项目时,它会自动继承这些项目的依赖关系。这意味着,如果项目 A 依赖于项目 B,而项目 ...Maven 提供了机制来解决这些冲突,如通过排除依赖或使用依赖调解来选择合适的版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值