解决maven依赖组件升级遇到的2个小坑

最新推荐文章于 2024-09-23 00:09:58 发布
最新推荐文章于 2024-09-23 00:09:58 发布
阅读量5.1k 收藏 7
点赞数 3
文章标签: java sdl devops 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sacredbook/article/details/108887422
版权
本文讲述了在Java项目中使用Maven进行依赖管理时遇到的两个常见问题:一是父子依赖传递导致的版本冲突,二是模块间依赖传递的风险组件问题。作者详细分析了问题的原因,并提供了解决方案,包括使用<dependencyManagement>标签来指定版本和同步更新所有相关模块的依赖。文章强调了建立安全知识库和优化devops流程的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简单说两句

今年公司开始推进程序依赖组件的漏洞修复,结合内部的devops流程我们开发了SCA系统,并以此扫描推动组件cve漏洞的升级工作。在这过程中,总是会有使用maven构建管理的java项目开发同学求助修复中遇到的各种各样小问题。下文中列举了2个我遇到的小例子,希望能帮助到遇到相同问题的筒子们。
在这里插入图片描述(2020.2.2 春节后疫情中的通州)

开始正文

基础知识普及

什么是maven?

Maven 是一个项目管理工具,可以对 Java 项目进行构建、依赖管理。

Maven 依赖管理

pom.xml 的 dependencies 列表列出了我们的项目需要构建的所有外部依赖项。我们可以在pom.xml中的dependencies标签指定依赖的组件名称、版本等。如:


<dependencies>
    <!-- 在这里添加你的依赖 -->
    <dependency>
        <groupId>ldapjdk</groupId>  <!-- 库名称,也可以自定义 -->
        <artifactId>ldapjdk</artifactId>    <!--库名称,也可以自定义-->
        <version>1.0</version> <!--版本号-->
        <scope>system</scope> <!--作用域-->
        <systemPath>${basedir}\src\lib\ldapjdk.jar</systemPath> <!--项目根目录下的lib文件夹下-->
    </dependency> 
</dependencies>

问题一 父子依赖传递的坑

  1. 场景:升级某组件,以jackson举例,在项目根目录下的 pom 已经声明了高版本的组件,模块中也修改了相应的高版本,但是通过mvn dependency:tree 命令扫描还是会出现低版本的组件依赖。
    如下配置
    1)根 pom 配置,已经修改为2.10.3的版本
<dependency>
            <groupId>com.fasterxml.jackson</groupId>
            <artifactId>jackson-bom</artifactId>
            <version>2.10.3</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>

2)java模块内 pom 配置也都修改为2.10.3版本

<dependency>
           <groupId>com.fasterxml.jackson.datatype</groupId>
           <artifactId>jackson-datatype-jsr310</artifactId>
           <version>2.10.3</version>
       </dependency>

3)然而配置完成后,通过 mvn dependency:tree 查看版本依赖,jackson-databind 还是低版本的

[INFO] +- com.fasterxml.jackson.datatype:jackson-datatype-jsr310:jar:2.10.3:compile
[INFO] |  +- com.fasterxml.jackson.core:jackson-annotations:jar:2.8.0:compile
[INFO] |  +- com.fasterxml.jackson.core:jackson-core:jar:2.8.11:compile
[INFO] |  \- com.fasterxml.jackson.core:jackson-databind:jar:2.8.11.2:compile
  1. 原因:后来查了些资料,发现这是由于根 pom 中引用了父依赖 spring-boot-starter-parent ,且这个依赖会传递一堆 starter 过来,其中 jackson-databind 恰好是用的 2.8.11.2 版本。而 spring boot parent 里的<dependency Management>指定了各组件的版本号,这个优先级要高于传递依赖的版本。所以导致 jackson-databind 版本依然是这个依赖指定的版本。
<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.14.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

我们看下maven官网这个org.springframework.boot 对应版本的jackson依赖正好是2.8.11.2版本,印证了这个问题的根源。

  1. 解决办法:使用 <dependency Management>在 pom 里指定 jackson 版本。
    备注:<dependency Management>有先后优先级顺序。
<dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>com.fasterxml.jackson</groupId>
                <artifactId>jackson-bom</artifactId>
                <version>2.10.3</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

问题二 java模块相互依赖传递的坑

  1. 场景:多模块项目,模块A中引用了模块B,模块B引用了风险组件 xx,那么在模块B中修改xx组件的版本号,mvn dependency:tree 查看仍旧会显示老版本的组件风险。
  2. 原因:只修改了模块B版本号的话,模块A中应用的还是模块B中的老版本。
  3. 解决办法:一并修改A模块的依赖版本

结语

安全运营工作中会遇到很多细节和坑,团队处理这些问题的经验往往难以形成有效的沉淀。导致相同的问题会反复出现,这样不仅消耗运营人员大量的工作经历,对公司安全问题的推进也无裨益。如果能建立起安全知识库并和公司的devops流程相结合,长期运行下来肯定会形成良性的循环。
更多maven依赖相关的知识,推荐大家可以参考maven的官方文档和这个手册,本人读后获益良多:https://www.runoob.com/maven/maven-tutorial.html。今天就到这里,感谢大家。

黑锅侠
关注
Maven工程war依赖基础war解决方案及坑点
sihan2018的博客
03-05 1911
一、业务场景 传统的SSM项目一般都为war部署,多模块的项目一般都是将模块打成jar依赖进web工程中,但是对于作为基础项目或者分模块的web项目来说,打成war对静态资源的访问就不太方便;这里介绍一下通过Maven WAR Plugin的解决这个问题。这对于没有上微服务的项目来说应该是个不错的解决方案,将通用的常规化的功能抽到base.war中,而其他类似项目依赖base.war作为基...
maven搭建模块化项目过程遇到的坑
javaloveiphone的专栏
09-21 4313
采用maven构建模块化项目,将一个整体项目拆分为entity、dao、service、web四个独立模块,项目架构采用spring MVC+spring+mybatis,整个过程直至项目跑起来,报了几个小问题,在此记录,算是经验吧。1、src/main/resources下创建的folder文件夹,显示,而不是文件夹产生原因:鼠标右键项目–>properties–>java bulid pat
maven jar版本升级遇到的问题
luo_yu_1106的博客
02-10 1915
1.事情是这样的,我们的项目A里由三个模块引入了jar jarX, 版本为V1 分别是 ModuleY -> jarX v1 ModuleZ -> jarX v1 ModuleF -> jarX v1 这个v1的版本是在我们的最顶层pom文件里定义的, 同时moduleD -> jarD -> jarX 版本为V3 根据路径更短 有限原则,moduleD里的jarD里的jarX版本也会是v1 参考:https://blog.csdn.net/wangkun881112/art
springboot maven依赖版本无法升级(selenium4升级
weixin_41599103的博客
06-17 1166
selenium3升级到selenium4,本来以为修改pom文件的版本号就可以,然鹅,存在部分依赖无法更能新到当前使用的版本。后来发现是被当前项目的pom文件的parent spring-boot-starter-parent的parent spring-boot-dependencies给限制了版本解决办法:在当前项目的pom文件中添加如下配置即可 然后就可以正常使用了...
关于maven版本控制问题
weixin_30449453的博客
08-04 1158
之前我们说过Maven版本分为快照和稳定版本,快照版本使用在开发的过程中,方便于团队内部交流学习。而所说的稳定版本,理想状态下是项目到了某个比较稳定的状态,这个稳定含了源代码和构建都要稳定。 maven中的仓库分为两种,snapshot快照仓库和release发布仓库。snapshot快照仓库用于保存开发过程中的不稳定版本,release正式仓库则是用来保存稳定的发行版本。定义一个...
记录一次Maven依赖传递,模块之间依赖版本不一致问题
优秀的程序员不应该是CRUD
09-15 5732
记录一次模块之间互相引入,版本号不一致问题
maven依赖版本更新不及时的解决办法
weixin_43862793的博客
10-09 4482
在使用maven的时候,遇到过这样一个问题,在使用夫工程进行版本控制的时候,把其中的一个依赖版本进新了更改,但是在子工程中的依赖还是显示的上一个依赖版本,点完maven刷新也是不变化,这时候就是需要clean一下你当前工程的target目录让他重新生成,然后点击maven刷新可以了 如下图 在这里可以看到的是我的夫工程中的spring-boot-dependencies版本2.1.16 这个可以看到我的子工程版本2.1.3这个2.1.3是我上一个版本,可以看到他没有随着我夫工程的版本变化而变化.
详解Maven的架构,用法,坑点介绍的清清楚楚
本人秃顶程序员的博客
05-21 965
点关注,不迷路;持续更新Java架构相关技术及资讯热文!!! 没有Maven之前的日子 个人的一个小感受,学习一个新技术,应该以历史的眼光开看待这个新技术出现的原因,以及帮我们解决了什么问题。我们来回忆一下没有Maven的日子是怎么样的? 开发一个项目,需要用别人写好的jar,我们先把开源的jar下载下来放到项目的lib目录下,并把这个目录添加到CLASSPATH(告诉Java执行环境,在...
Maven配置陷阱大揭秘】:5个常见错误及解决方案
通过对Maven仓库的配置、性能优化、依赖冲突解决、pom.xml文件错误处理、构建性能问题预防、插件配置技巧以及多模块项目管理的讨论,本文旨在为Java开发者提供实用的指导和最佳实践,帮助他们高效地管理项目构建过程...
来开源吧,发布开源组件MavenCentral 仓库超详细攻略
JHIII的博客
08-25 1728
当一个开发者的水平提升到一定程度时,会有由内向外输出价值的需求,括发布开源项目。而要发布开源组件,则需要将组件发布到公开的远程仓库,如 Jitpack、JenCenter 和 MavenCentral。其中,MavenCentral 是最流行的中央仓库,也是 Gradle 默认使用的仓库之一。在这篇文章里,我将手把手带你发布组件MavenCentral 中央仓库。本文的示例程序使用小彭的开源项目这不仅仅是一份攻略,还带着踩过一个个坑留下的泪和挠掉一根根落的宝贵发丝~~~
maven parent 覆盖_Maven 子模块B依赖A,A、B的版本号和父pom一致,如何升级B的版本...
weixin_42676876的博客
01-27 1825
问题描述您好,之前看了您关于maven的一个回答和我目前遇到的问题有点类似,我先简单描述下。我们一个maven聚合项目目录结构大概是这样:- parent-module-common-module-sdk其中sdk、common的版本和父pom版本保持一致,sdk中引用了common的依赖(在父pom中利用${project.version}和父pom版本保持一致),如何更好的升级子模块sdk的版...
idea2020更新了maven自动加载依赖
bsegebr的博客
03-21 742
maven 自动加载依赖 当idea推出2020 版本以后 ,取消了maven 原本的自动加载依赖的设置,那么新版如何加载依赖呢 右上角m 小图标就是加载依赖的按钮 当 鼠标翻上去以后 会显示快捷键ctrl + shift + o 我们也可以使用快捷键进行依赖加载 ...
maven依赖jar版本冲突的解决
codedot
01-31 1740
总共有四种解决方式: 第一声明优先原则 在pom.xml配置文件中,如果有两个名称相同版本不同的依赖声明,那么先写的会生效(同个pom.xml文件)。 所以,先声明自己要用的版本的jar即可。 路径近者优先 直接依赖优先于传递依赖,如果传递依赖的jar版本冲突了,那么可以自己声明一个指定版本依赖jar,即可解决冲突。 排除原则 传递依赖冲突时,可以在不需要的jar的传递依赖中声明排除,从而解决冲突。 如: <dependency> <groupId&gt...
多模块 maven pom 模块版本的统一升级的方法
ywtech的博客
07-23 1156
项目有10个子模块 当前是2.7.7 版本, 都需要升级2.7.8 版本。 手动一个一个升级 太麻烦了, 用一条指令 统一升级2.7.8 call mvn versions:set -DnewVersion=2.7.8 call mvn -N versions:update-child-modules call mvn versions:commit ...
maven项目中升级jar的几种方式
最新发布
qq_15738997的博客
09-23 883
如A->B,B有漏洞需要升级。1是可以看A有没有更新版本且这个新版本引用的B版本也是无漏洞的版本,则直接升级A即可。3、父工程定义dependencyManagement标签,统一管理直接和间接依赖版本,推荐使用这种方法。2是如果A没有新版本升级,可以使用exclusions标签,排除掉旧的B版本,然后再新引入新的B版本。有时候使用某个开源软件,突然爆出有bug,一般需要升级处理。升级前要对比新老版本的代码,如果变动大,则要注意兼容性。如果有新版本则直接修改坐标升级到最新版本。1、直接引用的开源软件。
pom中常见依赖
severl的博客
10-13 3247
常用pom文件依赖
JackSon操作Json相关jar maven依赖坐标【应用成功案例###jar版本固定的。因为:jar当前版本 依赖另一个jar版本是固定的】
anyway, life must全力以赴
04-24 6733
=======【应用成功案例###jar版本固定的。因为:jar当前版本 依赖另一个jar版本是固定的】====== &lt;!--@responseBody返回json,依赖jar====start【即Jackson:操作json转换的jar】--&gt; &lt;!--必须加:databind--&gt; &lt;!--&lt;dependency&...
Maven依赖传递和依赖冲突以及继承和聚合关系详解
11-18 1009
Java全能学习+面试指南:https://javaxiaobear.cn
jackson依赖的jar 对json的使用
ruixun8的博客
05-14 7888
一个新项目需要用到jackson,就从另一个项目拷贝jackson的jar,开始只是拷贝了几个名称括jackson的jar(原项目jar非常多),发现编译没错误,但运行时报无法找到这个类那个类等等。现将所有依赖的jackson的jar列出来,以备后用。 具体共享在百度圆盘上:http://pan.baidu.com/s/1c0LKdxe Jackson对json的使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值