V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fdgdbr
V2EX  ›  程序员

maven 有没有插件可以在打包时限制依赖 jar 包的版本

  •  
  •   fdgdbr · 2023-02-02 14:58:40 +08:00 · 1022 次点击
    这是一个创建于 658 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如对于经常出漏洞的 fastjson ,我希望 jar 的版本必须要高于 x.y.z ,否则打包过程中会报错然后打包失败,有没有 maven 插件可以实现这样的功能,网上搜了下没找到

    5 条回复    2023-02-03 01:34:25 +08:00
    yyttrr
        1
    yyttrr  
       2023-02-02 15:02:56 +08:00   ❤️ 1
    cicd 流程里面用脚本实现一下吧,打完包判断一下依赖的版本,成功后再上传
    blankmiss
        3
    blankmiss  
       2023-02-02 15:52:13 +08:00   ❤️ 1
    或者写个脚本去解析 pom 文件 然后去查漏
    yanmu6626
        4
    yanmu6626  
       2023-02-02 16:00:20 +08:00   ❤️ 1
    IDEA 有插件检测依赖版本号的
    zhaogaz
        5
    zhaogaz  
       2023-02-03 01:34:25 +08:00   ❤️ 1
    提几个点。

    1. 在大公司里面,cicd 会有专门的安全团队介入, 进行包版本的扫描。
    2. 你这个需求,设置某些包大于 xxx 版本,在 gradle 能实现,maven 不清楚
    3. 我知道的 maven 可以实现什么呢?可以在打包的时候,把某些不安全的包排除掉,或者是替换掉,有 plugin 可以实现 如 Apache Maven Shade Plugin
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3583 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:20 · PVG 12:20 · LAX 20:20 · JFK 23:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.