• maven 依赖版本冲突异常

    maven 依赖版本冲突异常

    好巧不巧,前几天刚刚复习完 maven 的内容今天就碰到 maven 报错。

    起因是这样的,项目马上快要上线了,在上线之前需要跑一些 audit 去检查项目是否安全(这里主要是 outdated 的依赖检查)。总体来说需要过两个审查:

    另一个能过自然好,不过现在还是处于试运行状态,还没有上纲上线的需求:

    • snyk

      我还真的不知道 vendor 是谁,下载的就是一个 blobl 文件类型的报告

    prisma 这里 java 的依赖查的很严,然后就碰到 spring-boot-autoconfigure 需要升级的事情,所以我就在 pom 下面手动加了一下 spring-boot-autoconfigure 能过审的版本,这个也是问题的触发点。

    ⚠️ 因为我没办法升级 spring-boot ❌

    一个内部使用的依赖一旦升级 boot,就直接报错死给我看,所以不得已的情况下只能升级 spring-boot-autoconfigure 而没升级 spring-boot

    总体来说是这样的,如果所有的依赖都只由 parent 去进行管理,那么所有项目里使用的版本是一致的,不会出现任何的问题。可是在一些情况下——比如说现在这个情况——需要升级特定的版本,那么就会出现依赖 A 和依赖 B 尽管使用同样的依赖,但是却用的是不同版本的问题

    在这个情况下,其他的 spring-boot 相关依赖用的是未升级的 spring-boot 版本,而 autoconfigure 用的是升过级的版本,就产生了这样的报错信息:

    Dependency convergence error for org.springframework.boot:spring-boot-autoconfigure:2.7.12 paths to dependency are:
+-com.company.project:ui:2.0.488-SNAPSHOT
  +-org.springframework.boot:spring-boot-autoconfigure:2.7.12
and
+-com.company.project:ui:2.0.488-SNAPSHOT
  +-org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.6.8
    +-org.springframework.boot:spring-boot-autoconfigure:2.7.11
and
+-com.company.project:ui:2.0.488-SNAPSHOT
  +-org.springframework.boot:spring-boot-devtools:2.7.11
    +-org.springframework.boot:spring-boot-autoconfigure:2.7.11
and
+-com.company.project:ui:2.0.488-SNAPSHOT
  +-org.springframework.boot:spring-boot-starter-test:2.7.11
    +-org.springframework.boot:spring-boot-test-autoconfigure:2.7.11
      +-org.springframework.boot:spring-boot-autoconfigure:2.7.11

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16

    大致理解一下就是,我声明了 spring-boot-autoconfigure 去使用 2.7.12 版本,但是其他的 spring-boot 依赖因为用的是统一的 spring-boot 版本,调用的是 2.7.11 版本,maven 就不高兴了

    spring-boot-starter-test 有自己版本的 spring-boot-autoconfigure 这种情况称之为传递依赖,transitive dependency

    最好情况下是统一版本,不过上面我也提了,短期内另一个项目是没办法动的(另一个团队在 support),所以这里只能用 workaround 去处理,也就是 maven 中的 exclusion

    产生冲突的依赖如下:

            <dependency>
			<groupId>org.springframework.security.oauth.bootgroupId>
			<artifactId>spring-security-oauth2-autoconfigureartifactId>
		dependency>
        <dependency>
			<groupId>org.springframework.bootgroupId>
			<artifactId>spring-boot-devtoolsartifactId>
			<scope>runtimescope>
			<optional>trueoptional>
		dependency>


    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    使用 exclude 的方案:

            <dependency>
			<groupId>org.springframework.security.oauth.bootgroupId>
			<artifactId>spring-security-oauth2-autoconfigureartifactId>
			<exclusions>
				<exclusion>
					<groupId>org.springframework.bootgroupId>
      				<artifactId>spring-boot-autoconfigureartifactId>
				exclusion>
			exclusions>
		dependency>


    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    https://maven.apache.org/guides/introduction/introduction-to-optional-and-excludes-dependencies.html 中也有提过,这个效果大概是:

    Project-A
   -> Project-B
        -> Project-D
              -> Project-E 
              -> Project-F
   -> Project C

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    具体在操作时,org.springframework.security.oauth.boot 就会排除 autoconfigure,不去下载它

  • 相关阅读:
    喜报!易基因“同源基因特异性甲基化时序数据分析方法”获专利授权
    从业务性能角度思考 React 组件的更新方式
    vue中常见的3块标签的介绍
    献给Nacos小白的一篇好文:配置参数使用及存储
    逻辑门整理
    sheng的学习笔记-【中文】【吴恩达课后测验】Course 2 - 改善深层神经网络 - 第一周测验
    【数据结构与算法】---OJ链表题来源力扣和牛客
    MySQL 你所不知道的 SQL 使用技巧
    ABB机器人数组码垛精解
    矩阵分析与应用-03-矩阵的基本运算
  • 原文地址:https://blog.csdn.net/weixin_42938619/article/details/133543577