Черный список Maven зависимости

Есть ли способ, например. подключаемый Maven, который может принимать список нежелательных/черных перечисленных зависимостей (прямой и транзитивный) и не удается построить, если он обнаруживает одну из перечисленных зависимостей?

В моем проекте мы строго хотим избавиться от ведения журнала Apache Commons и заменить его на модем SLF4J JCL. Я знаю, что мы должны исключить нежелательные deps ourselfs, но я бы хотел, чтобы сборка была неудачной, если кто-то добавляет зависимость, которая приводит к зависанию в черном списке.

Ответы

Ответ 1

Вы можете запретить некоторые зависимости, используя maven-enforcer-plugin.

Вот их пример с обновлениями для исключения журнала регистрации Apache.

<project>
  [...]
  <build>
    <plugins>
      <plugin>
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-enforcer-plugin</artifactId>
        <version>1.1.1</version>
        <executions>
          <execution>
            <id>enforce-banned-dependencies</id>
            <goals>
              <goal>enforce</goal>
            </goals>
            <configuration>
              <rules>
                <bannedDependencies>
                  <excludes>
                    <exclude>commons-logging:commons-logging</exclude>
                  </excludes>
                </bannedDependencies>
              </rules>
              <fail>true</fail>
            </configuration>
          </execution>
        </executions>
      </plugin>
    </plugins>
  </build>
  [...]
</project>

Выход при запуске mvn install будет:

[WARNING] Rule 1: org.apache.maven.plugins.enforcer.BannedDependencies failed with message:
Found Banned Dependency: commons-logging:commons-logging:jar:1.1.1
Use 'mvn dependency:tree' to locate the source of the banned dependencies.

Все заканчивается на BUILD FAILURE.

Ответ 2

Да, плагин-исполнитель поддерживает это с помощью bannedDependencies.