So finden Sie die Komponente von Drittanbietern, die in einer Bibliothek von Drittanbietern verwendet wird

Question

Ich habe ein riesiges Maven-Projekt, das viele Bibliotheken von Drittanbietern verwendet. Wenn ich einen BlackDuck-Scan ausgeführt habe, um die Abhängigkeiten zu finden. Es meldet sich mit einer Bibliothek zurück, die eine kommerzielle Lizenz besitzt. Ich habe einen Bericht manuell mit mvn Abhängigkeit: Baum ausgeführt, aber ich kann diese Abhängigkeit nicht finden. Meine Annahme ist jetzt, dass eine dritte Bibliothek diese Komponente verwendet.

Wie kann ich herausfinden, welche der 3rd-Party-Bibliothek diese 3rd-Party-Komponente verwendet.

Answer 1

mvn dependency:tree zeigt alle Abhängigkeiten und transitiven Abhängigkeiten Ihres Projekts, so dass Ihre "Laufzeit" nicht von dieser Bibliothek abhängt. Ich bin mit BlackDuck überhaupt nicht vertraut, aber ich frage mich, ob es nach Bibliotheken sucht, die von Plugins verwendet werden, denn das ist die einzige Option, die ich mir vorstellen kann.

Leider ist dies nicht sehr einfach zu überprüfen ... aber was ich in der Vergangenheit getan habe, ist die Bibliothek aus meinem lokalen .m2 Repo zu löschen, und dann einen Build mit dem Offline-Parameter (-o) auslösen. Das sollte einen Download auslösen, der fehlschlagen sollte. Die Fehlermeldung sollte sagen, welches Plugin von der Bibliothek abhängt.