V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lower
V2EX  ›  编程

有没有在项目中被第三方依赖包版本坑过的老哥,来分享点经验?

  •  
  •   lower · 2023-04-07 17:04:38 +08:00 · 1098 次点击
    这是一个创建于 627 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前我们后端 Java 项目偶尔出现阿里短信类找不着的问题,我都没怎么重视, 今天仔细看了一下,发现是阿里短信的 pom 里面依赖的 pom ,引用的不是固定的版本号,每次会拉最新版本的 jar 。。。

    我之前只见到大概前端 npm 老有这种版本不固定的设定,没想到 maven 里被坑了一次 关键还是 pom 里面套的 pom 版本不固定啊

    老哥们都是怎么处理的? A:就用最新的,出问题了再说? B: 严格设定固定版本号? C:必须自己搭私有仓库?

    6 条回复    2023-04-07 17:26:41 +08:00
    corningsun
        1
    corningsun  
       2023-04-07 17:06:57 +08:00
    小概率事件吧,具体是哪个包? 开源的话可以去提个 ISSUE 。

    或者用 maven dependencymanagement 固定版本号。
    zero10086
        2
    zero10086  
       2023-04-07 17:12:51 +08:00
    被 @types/sass 坑过,taro 依赖了这个包,然后没有固定版本,前段时间发了 1.45 这个版本,直接上传了一个空包,编译报错了。
    wunonglin
        3
    wunonglin  
       2023-04-07 17:14:26 +08:00
    vue2 element

    label = value [笑]
    wu67
        4
    wu67  
       2023-04-07 17:14:57 +08:00
    以下说前端. 开源的东西, 主要是不一定总是能遇上靠谱的, 先不说代码投毒, 光是在小版本和补丁版本发布 API 的破坏性更新, 就够你喝一壶了
    自己从头开始搞的项目: 直接上最新的, 直接跟主流版本走.
    中途接手的坑: 上来直接就先锁死版本, 然后有空再一个个依赖尝试升级, 业务多到没空, 那不关我事, 代码能跑就行, 爱咋咋滴

    私有仓库维护麻烦, 遇到更新时你还得同步更新, 我宁愿直接淘宝源, 炸了临时切其他源, 总之能用.
    lower
        5
    lower  
    OP
       2023-04-07 17:25:18 +08:00
    @wu67 老哥说的有道理,根据项目实际具体情况来弄😂
    lower
        6
    lower  
    OP
       2023-04-07 17:26:41 +08:00
    @corningsun 确实是小概率,而且也是我自己操作的问题,只是遇到了心里有点郁闷吐个槽……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5118 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:16 · PVG 09:16 · LAX 17:16 · JFK 20:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.