maven 有没有插件可以在打包时限制依赖 jar 包的版本

2023-02-02 14:58:40 +08:00

fdgdbr

比如对于经常出漏洞的 fastjson ，我希望 jar 的版本必须要高于 x.y.z ，否则打包过程中会报错然后打包失败，有没有 maven 插件可以实现这样的功能，网上搜了下没找到

874 次点击

所在节点

程序员

5 条回复

yyttrr

2023-02-02 15:02:56 +08:00

cicd 流程里面用脚本实现一下吧，打完包判断一下依赖的版本，成功后再上传

xuyang2

2023-02-02 15:33:56 +08:00

https://maven.apache.org/enforcer/enforcer-rules/bannedDependencies.html

blankmiss

2023-02-02 15:52:13 +08:00

或者写个脚本去解析 pom 文件然后去查漏

yanmu6626

2023-02-02 16:00:20 +08:00

IDEA 有插件检测依赖版本号的

zhaogaz

2023-02-03 01:34:25 +08:00

提几个点。

1. 在大公司里面，cicd 会有专门的安全团队介入，进行包版本的扫描。
2. 你这个需求，设置某些包大于 xxx 版本，在 gradle 能实现，maven 不清楚
3. 我知道的 maven 可以实现什么呢？可以在打包的时候，把某些不安全的包排除掉，或者是替换掉，有 plugin 可以实现如 Apache Maven Shade Plugin

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/912589

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.