有没有在项目中被第三方依赖包版本坑过的老哥,来分享点经验?

2023-04-07 17:04:38 +08:00
 lower

之前我们后端 Java 项目偶尔出现阿里短信类找不着的问题,我都没怎么重视, 今天仔细看了一下,发现是阿里短信的 pom 里面依赖的 pom ,引用的不是固定的版本号,每次会拉最新版本的 jar 。。。

我之前只见到大概前端 npm 老有这种版本不固定的设定,没想到 maven 里被坑了一次 关键还是 pom 里面套的 pom 版本不固定啊

老哥们都是怎么处理的? A:就用最新的,出问题了再说? B: 严格设定固定版本号? C:必须自己搭私有仓库?

1098 次点击
所在节点    编程
6 条回复
corningsun
2023-04-07 17:06:57 +08:00
小概率事件吧,具体是哪个包? 开源的话可以去提个 ISSUE 。

或者用 maven dependencymanagement 固定版本号。
zero10086
2023-04-07 17:12:51 +08:00
被 @types/sass 坑过,taro 依赖了这个包,然后没有固定版本,前段时间发了 1.45 这个版本,直接上传了一个空包,编译报错了。
wunonglin
2023-04-07 17:14:26 +08:00
vue2 element

label = value [笑]
wu67
2023-04-07 17:14:57 +08:00
以下说前端. 开源的东西, 主要是不一定总是能遇上靠谱的, 先不说代码投毒, 光是在小版本和补丁版本发布 API 的破坏性更新, 就够你喝一壶了
自己从头开始搞的项目: 直接上最新的, 直接跟主流版本走.
中途接手的坑: 上来直接就先锁死版本, 然后有空再一个个依赖尝试升级, 业务多到没空, 那不关我事, 代码能跑就行, 爱咋咋滴

私有仓库维护麻烦, 遇到更新时你还得同步更新, 我宁愿直接淘宝源, 炸了临时切其他源, 总之能用.
lower
2023-04-07 17:25:18 +08:00
@wu67 老哥说的有道理,根据项目实际具体情况来弄😂
lower
2023-04-07 17:26:41 +08:00
@corningsun 确实是小概率,而且也是我自己操作的问题,只是遇到了心里有点郁闷吐个槽……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/930625

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX