这篇文章,其实在一年之前的时候就已经写好了。当时是在公司内部分享的,作为一个监控框架。当时是想着过一段时间之后,分享到技术论坛上面的,没想到计划赶不上变化,过完国庆被裁了。
当时忙着找工作,就一直没有更新了,放在笔记里面吃灰。
最近,发现好久没有分享技术文章了,从笔记里面找了一下,就拿来分享了。
在项目开发中,会有很多第三方依赖,通过 gradle 引入进来的。比如 androidxDesignVersion、androidxSupportVersion、 rxjava2Version、 okhttpVersion 等第三方库。有时候第三方库改到了或者升级了,我们并不能及时发现,往往需要等到出问题的时候,去排查的时候,才发现是某个依赖版本改动导致的。
这时候其实是有点晚了,如果能够提前暴露,那么我们能够大大地减少风险,因此我们希望能够监控起来。
目前主要对 dev 分支进行监控,以下几种场景会促发 diff 检查
diff 报告主要包括以下几种信息
检测到 Dependency 变化
分支: 573029_test
作者: 徐俊
commitId: 4844590b baseCommitId: bed4cb64
变动依赖:
+\--- project :component-matrix
+ \--- com.google.code.gson:gson:2.8.2 -> 2.8.9
详情: {url}
提交:{url}/merge_requests/4425/diffs
检测到 Dependency 变化
分支: 573029_dep_diff
作者: xujun
commitId: 16145365 baseCommitId: 4844590b
变动依赖:
+\--- project :component-matrix
+ \--- com.squareup.retrofit2:converter-gson:2.4.0 (*)
详情: {url}
提交: {url)/commit/16145365
检测到 Dependency 变化
分支: 573029_dep_diff
作者: xujun
commitId: 19f22516 baseCommitId: 8c90d512
变动依赖:
+\--- project :component-tcpcache
+ \--- com.google.code.gson:gson:2.8.2 -> 2.8.9
详情: {url}
提交: {url)/commit/16145365
我们主要讲述以下几点
众所周知,Android 的 Dependency 是通过 gradle 进行配置的,如果我们在 build.gradle 下面配置了这样,证明了我们依赖 recyclerview 这个库。
dependencies {
implementation androidx.recyclerview:recyclerview:1.1.0 ”
}
那一行代码会给我们的 Dendenpency 带来怎样的变化呢?
有人说,它是新增了 recyclerview 这个库。
这个说法对嘛?
不全对。
因为 gradle 依赖默认是有传递性的。他还会同时引入 recyclerview 自身所依赖的库。
+--- androidx.recyclerview:recyclerview:1.1.0
| +--- androidx.annotation:annotation:1.1.0
| +--- androidx.core:core:1.1.0
| +--- androidx.customview:customview:1.1.0
| \--- androidx.collection:collection:1.0.0 -> 1.1.0 (*)
然而这些情况就是我们往往所忽略的,即使有代码 review,有时候也会漏了。即使 review 待了,可能下意识也只以为只引入了这个库,却很难看到它背后的变化。
而这些如果带到线上去,有时候会发生一些难以预测的结果,因此,我们需要有专门的手段来监控这些变化。能够监测到整条链路的变化,而不仅仅只是 implementation androidx.recyclerview:recyclerview:1.1.0 ”
这行代码的变化
至于如果依赖的传递性,可以通过 transitive
、exclude
等用法做到。 可以看这些文章,这里不再一一展开。
build.gradle管理依赖的版本(传递(transitive)\排除(exclude)\强制(force)\动态版本(+))
获取 dependency Tree 的话,有多种方式
project.configurations
这种方式获取gradlew :app:dependencies
taskAsciiDependencyReportRenderer
获取,需要适配不同版本的 gradle 版本project.configurations
方式通过这种方式获取的,他是能够获取到所有的 dependencies,但是并不能看到 dependencies 的树形关系。
伪代码如下
def configuration = project.configurations.getByName("debugCompileClasspath")
configuration.resolvedConfiguration.lenientConfiguration.allModuleDependencies.each {
def identifer = it.module.id
depList.add(identifer)
}
./gradlew dependencies 会输出所有 configuration 的 Dependcency Tree。包括 testDebugImplementation、testDebugProvided、testDebugRuntimeOnly 等等
事实上,我们只关心打进 APK 包里面的 dependencies。因此我们可以指定更详细的 configuration 。即
gradlew :app:dependencies --configuration releaseRuntimeClasspath
这样,就只会输出 Release 包 runtimeClasspath 相关的东西。
RuntimeClasspath 跟我们常用的 implementation,关系大概如下
在输出的 dependencies tree 报告中,我们看到的格式一般是这样的
** 这里有几个格式需要说明一下**
AsciiDependencyReportRenderer 这个东东,在不同的 gradle 版本有不同的差异,需要适配一下。
如果要这种方案,建议将某个版本的代码剥离出来,伪代码一般如下,单独集成一个库。
project.afterEvaluate {
Log.i(TAG, "afterEvaluate")
val renderer = AsciiDependencyReportRenderer()
val sb = StringBuilder()
val f = StreamingStyledTextOutputFactory(sb)
renderer.setOutput(f.create(javaClass, LogLevel.INFO))
val projectDetails = ProjectDetails.of(project)
renderer.startProject(projectDetails)
// sort all dependencies
val configuration: org.gradle.api.artifacts.Configuration =
project.configurations.getByName("releaseRuntimeClasspath")
renderer.startConfiguration(configuration)
renderer.render(configuration)
renderer.completeConfiguration(configuration)
// finish the whole processing
renderer.completeProject(projectDetails)
val textOutput = renderer.textOutput
textOutput.println()
Log.i(TAG, "end sb is $sb")
}
从上面阐述可知,第一种方案 project.configurations
, 通过这种方式获取的,他是能够获取到所有的 dependencies,但是并不能看到 dependencies 的树形关系。
第二种方案 ./gradlew dependencies
的优点是简单,直接采用 gradle 原生 Task,输出特定格式的文本。然后根据规律将所有的 dependency tree 提出出来。
可能有人担心 ./gradlew dependencies
的输出格式会变化。
其实还好,看了几个 gradle 版本的输出格式,基本都是一样的。
第三种方案 AsciiDependencyReportRenderer
的优点是可定制性高,缺点是麻烦,需要适配不同版本的 gradle。
最终我选择的方案是方案二。
可能很多人想到的方案是使用 Git diff 进行 diff 计算。但是这种方式有局限性。
这无法达到我们想要的结果。因此,我们需要整合自己的 diff 算法。
这里的方案是借鉴了 JakeWharton 大神的方案,在其基础之上进行了改造。
原理大概如下
第一步
对于这里的依赖,我们会使用 Set
的数据结构储存>
转换之后的数据结构
这样的好处就是可以看到每一个 dependency 的全路径,如果 dependency 的全路径不一样,那么可以 diff 出来。
第二步 计算 remove 树 和 add 树
有了第一步的基础,其实很简单,直接调用 kotlin 的扩展方法 Set
其实,这个说到底,就是找到上一个 commit 提交的 diff 文件。
因此,我们可以借助 git 命令来处理。对于 merge request,目前主要有几种情况会产生 merge request。
原理图如下:
Gialab push 或者 merge 的时候,我们需要感知到,接着执行特定的 task,进行计算。 每个公司的 CI 可能不太一样,具体可以修改一下
gradlew :{appName}:checkDepDiff
dependency diff 监控的原理其实不难,主要是涉及到挺多方面的,有兴趣的可以看一下。如果觉得对你有所帮助的话,希望可以一键三连。
https://wajahatkarim.com/2020/03/gradle-dependency-tree/
https://tomgregory.com/gradle-dependency-tree/
https://github.com/jfrog/gradle-dep-tree
http://muydev.top/2018/08/21/Analyze-Android-Dependency-Tree/