我有一个巨大的 Maven 项目,它使用了很多第三方库。 当我运行 BlackDuck 扫描来查找依赖项时。它会报告一个拥有商业许可证的库。我已使用 mvn dependency:tree 手动运行报告,但我找不到此依赖项。我现在的假设是某个第三个库正在使用这个组件。
我如何找出哪个第 3 方库正在使用该第 3 方组件。
最佳答案
mvn dependency:tree
显示项目的所有依赖项和传递依赖项,因此您的“运行时”不依赖于该库。我对 BlackDuck 一点也不熟悉,但我想知道它是否也搜索插件使用的库,因为这是我能想到的唯一选择。
不幸的是,这并不是很容易检查......但我过去所做的是从本地 .m2 存储库中删除该库,然后使用离线触发构建(-o
) 参数。这应该会触发下载,但下载应该会失败。错误消息应该说明哪个插件依赖于该库。
关于java - 如何查找第三方库中正在使用的第三方组件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38271028/