问题记录-maven依赖升级或替换(简单版)

问题背景

项目被检测到有高危漏洞,需要对部分jar进行升级。以一个jar为例记录一下升级过程。

1 找到高危漏洞的包

如果装了maven helper插件则可以在下面查看当前模块依赖包

2 使用maven命令

执行下面这个命令,会将当前项目的信息打印出来,那个jar依赖了什么其它的jar可以看的非常的清楚。

bash 复制代码
mvn dependency:tree

3 进行依赖排除

bash 复制代码
<dependency>
   <groupId>org.geotools</groupId>
   <artifactId>gt-main</artifactId>
   <version>${geotools.version}</version>
   <exclusions>
       <exclusion>
           <artifactId>commons-text</artifactId>
           <groupId>org.apache.commons</groupId>
       </exclusion>
   </exclusions>
</dependency>

4 依赖替换

将里面的依赖排除,替换成我们需要升级的版本

bash 复制代码
<dependency>
   <groupId>org.apache.commons</groupId>
   <artifactId>commons-text</artifactId>
   <version>1.10.0</version>
</dependency>

5 其它方法

其实我们也可以偷懒直接去替换jar 包里面的依赖,然后重新压缩成jar文件。

bash 复制代码
java jar cvfm0 demo.jar . #注意后面的. 在当前目录执行此命令

-c:创建新的 JAR 文件包

-t:列出 JAR 文件包的内容列表

-x:展开 JAR 文件包的指定文件或者所有文件

-u:更新已存在的 JAR 文件包 (添加文件到 JAR 文件包中)

-v:生成详细报告并打印到标准输出

-f:指定 JAR 文件名,通常这个参数是必须的

-m:指定需要包含的 MANIFEST 清单文件

-0:只存储,不压缩,这样产生的 JAR 文件包会比不用该参数产生的体积大,但速度更快(最好不要压缩)

-M:不产生所有项的清单(MANIFEST〕文件,此参数会忽略-m参数

增量更新

bash 复制代码
jar -uvf0 commons-text-1.10.0.jar test  #这个命令意思是将test目录放到jar中去 
jar -uvf0 commons-compiler-3.1.2.jar META-INF/* #这个意思是将META-INF 中的所有文件添加到jar中去
#这里有个问题就是更新过一次以后,再更新会有错误


特别注意 :这样的升级方式的前提是,你所使用的接口在更高版本的jar中没有被替换,也就是能向低版本兼容如果不行,有可能就涉及到多个依赖的升级。

相关推荐
Oneforlove_twoforjob10 分钟前
【Java基础面试题033】Java泛型的作用是什么?
java·开发语言
向宇it27 分钟前
【从零开始入门unity游戏开发之——C#篇24】C#面向对象继承——万物之父(object)、装箱和拆箱、sealed 密封类
java·开发语言·unity·c#·游戏引擎
小蜗牛慢慢爬行29 分钟前
Hibernate、JPA、Spring DATA JPA、Hibernate 代理和架构
java·架构·hibernate
星河梦瑾1 小时前
SpringBoot相关漏洞学习资料
java·经验分享·spring boot·安全
黄名富1 小时前
Redis 附加功能(二)— 自动过期、流水线与事务及Lua脚本
java·数据库·redis·lua
love静思冥想1 小时前
JMeter 使用详解
java·jmeter
言、雲1 小时前
从tryLock()源码来出发,解析Redisson的重试机制和看门狗机制
java·开发语言·数据库
TT哇2 小时前
【数据结构练习题】链表与LinkedList
java·数据结构·链表
Yvemil72 小时前
《开启微服务之旅:Spring Boot 从入门到实践》(三)
java
Anna。。2 小时前
Java入门2-idea 第五章:IO流(java.io包中)
java·开发语言·intellij-idea