问题记录-maven依赖升级或替换(简单版)

问题背景

项目被检测到有高危漏洞,需要对部分jar进行升级。以一个jar为例记录一下升级过程。

1 找到高危漏洞的包

如果装了maven helper插件则可以在下面查看当前模块依赖包

2 使用maven命令

执行下面这个命令,会将当前项目的信息打印出来,那个jar依赖了什么其它的jar可以看的非常的清楚。

bash 复制代码
mvn dependency:tree

3 进行依赖排除

bash 复制代码
<dependency>
   <groupId>org.geotools</groupId>
   <artifactId>gt-main</artifactId>
   <version>${geotools.version}</version>
   <exclusions>
       <exclusion>
           <artifactId>commons-text</artifactId>
           <groupId>org.apache.commons</groupId>
       </exclusion>
   </exclusions>
</dependency>

4 依赖替换

将里面的依赖排除,替换成我们需要升级的版本

bash 复制代码
<dependency>
   <groupId>org.apache.commons</groupId>
   <artifactId>commons-text</artifactId>
   <version>1.10.0</version>
</dependency>

5 其它方法

其实我们也可以偷懒直接去替换jar 包里面的依赖,然后重新压缩成jar文件。

bash 复制代码
java jar cvfm0 demo.jar . #注意后面的. 在当前目录执行此命令

-c:创建新的 JAR 文件包

-t:列出 JAR 文件包的内容列表

-x:展开 JAR 文件包的指定文件或者所有文件

-u:更新已存在的 JAR 文件包 (添加文件到 JAR 文件包中)

-v:生成详细报告并打印到标准输出

-f:指定 JAR 文件名,通常这个参数是必须的

-m:指定需要包含的 MANIFEST 清单文件

-0:只存储,不压缩,这样产生的 JAR 文件包会比不用该参数产生的体积大,但速度更快(最好不要压缩)

-M:不产生所有项的清单(MANIFEST〕文件,此参数会忽略-m参数

增量更新

bash 复制代码
jar -uvf0 commons-text-1.10.0.jar test  #这个命令意思是将test目录放到jar中去 
jar -uvf0 commons-compiler-3.1.2.jar META-INF/* #这个意思是将META-INF 中的所有文件添加到jar中去
#这里有个问题就是更新过一次以后,再更新会有错误


特别注意 :这样的升级方式的前提是,你所使用的接口在更高版本的jar中没有被替换,也就是能向低版本兼容如果不行,有可能就涉及到多个依赖的升级。

相关推荐
Deamon Tree4 分钟前
ElasticSearch架构和写入、更新、删除、查询的底层逻辑
java·大数据·elasticsearch·架构
北极糊的狐26 分钟前
IntelliJ IDEA插件:CodeGeeX 智能助手插件
java·ide·intellij-idea
悟能不能悟28 分钟前
jdk25结构化并发和虚拟线程如何配合使用?有什么最佳实践?
java·开发语言
熙客1 小时前
Java8:Lambda表达式
java·开发语言
小咕聊编程1 小时前
【含文档+PPT+源码】基于java web的篮球馆管理系统系统的设计与实现
java·开发语言
后端小张1 小时前
【JAVA 进阶】Mybatis-Plus 实战使用与最佳实践
java·spring boot·spring·spring cloud·tomcat·mybatis·mybatis plus
崎岖Qiu1 小时前
【设计模式笔记07】:迪米特法则
java·笔记·设计模式·迪米特法则
摇滚侠3 小时前
Spring Boot3零基础教程,SpringApplication 自定义 banner,笔记54
java·spring boot·笔记
青云交3 小时前
Java 大视界 -- Java 大数据机器学习模型在游戏用户行为分析与游戏平衡优化中的应用
java·大数据·机器学习·数据存储·模型构建·游戏用户行为分析·游戏平衡优化
暗武逢天6 小时前
Java导出写入固定Excel模板数据
java·导出数据·easyexcel·excel固定模板导出