有没有在项目中被第三方依赖包版本坑过的老哥，来分享点经验？

之前我们后端 Java 项目偶尔出现阿里短信类找不着的问题，我都没怎么重视，今天仔细看了一下，发现是阿里短信的 pom 里面依赖的 pom ，引用的不是固定的版本号，每次会拉最新版本的 jar 。。。

我之前只见到大概前端 npm 老有这种版本不固定的设定，没想到 maven 里被坑了一次关键还是 pom 里面套的 pom 版本不固定啊

老哥们都是怎么处理的？ A：就用最新的，出问题了再说？ B: 严格设定固定版本号？ C：必须自己搭私有仓库？

corningsun

2023-04-07 17:06:57 +08:00

小概率事件吧，具体是哪个包？开源的话可以去提个 ISSUE 。

或者用 maven dependencymanagement 固定版本号。

zero10086

2023-04-07 17:12:51 +08:00

被 @types/sass 坑过，taro 依赖了这个包，然后没有固定版本，前段时间发了 1.45 这个版本，直接上传了一个空包，编译报错了。

wu67

2023-04-07 17:14:57 +08:00

以下说前端. 开源的东西, 主要是不一定总是能遇上靠谱的, 先不说代码投毒, 光是在小版本和补丁版本发布 API 的破坏性更新, 就够你喝一壶了
自己从头开始搞的项目: 直接上最新的, 直接跟主流版本走.
中途接手的坑: 上来直接就先锁死版本, 然后有空再一个个依赖尝试升级, 业务多到没空, 那不关我事, 代码能跑就行, 爱咋咋滴

私有仓库维护麻烦, 遇到更新时你还得同步更新, 我宁愿直接淘宝源, 炸了临时切其他源, 总之能用.

lower

2023-04-07 17:26:41 +08:00

@corningsun 确实是小概率，而且也是我自己操作的问题，只是遇到了心里有点郁闷吐个槽……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/930625

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.