我们正在使用 gradle 运行一个 spring-boot 应用程序。
为了包含 spring-boot 插件,我们将其添加为依赖项:
buildscript {
dependencies {
classpath("org.springframework.boot:spring-boot-gradle-plugin:1.3.2.RELEASE")
}
}
不幸的是,这个插件附带了一个依赖项 org.apache.logging.log4j:log4j-slf4j-impl:2.4.1
我想排除。
已经通过添加以下内容进行了尝试:
dependencies {
classpath("org.springframework.boot:spring-boot-gradle-plugin:1.3.2.RELEASE") {
exclude group: 'org.apache.logging.log4j'
}
}
这行不通。
还添加:
configurations {
classpath.exclude group: 'org.apache.logging.log4j', module: 'log4j-slf4j-impl'
}
没有任何效果。
欢迎任何提示。
尝试排除
org.apache.logging.log4j:log4j-slf4j-impl:2.4.1
尝试
dependencies {
classpath("org.springframework.boot:spring-boot-gradle-plugin:1.3.2.RELEASE") {
exclude group: 'org.apache.logging.log4j', module: 'log4j-slf4j-impl'
}
}
两个步骤,追逐传递依赖项,然后将其从负责的库中排除。
gradle dependencies
为您提供了包括传递物在内的完整列表。 如果您的项目很小,这可能会有所帮助,但对于大型企业构建...它的信息太多了。 随意搜索它,但我们从dependencyInsight
中获得更多切中要害的信息。
gradle dependencyInsight --dependency someDependency
查找依赖项可能进入构建的所有位置。 如果您有多个版本,这将有助于明确版本的来源。
在我的用例中,日志记录被显式声明为编译时依赖项,因此如下所示。 如果log4j
在其他任何地方,您将看到有问题的库以及 v 2.5
的编译时声明。
我必须在每个子模块上显式运行它。
$ gradle util:dependencyInsight --dependency org.apache.logging.log4j
Configuration on demand is an incubating feature.
:util:dependencyInsight
org.apache.logging.log4j:log4j-api:2.5
+--- compile
--- org.apache.logging.log4j:log4j-core:2.5
--- compile
org.apache.logging.log4j:log4j-core:2.5
--- compile
(*) - dependencies omitted (listed previously)
BUILD SUCCESSFUL
Total time: 0.933 secs
现在,一旦您知道从哪里排除依赖项,就像以前一样将其删除。 您可以通过再次运行dependencyInsights
进行确认
dependencies {
// found through `gradle dependencyInsight --dependency org.apache.logging.log4j`
classpath("someOtherGroup:someOtherArtifactId:1.0") {
exclude group: 'org.apache.logging.log4j', module: 'log4j-slf4j-impl'
}
}
另一种解决方案可能是覆盖依赖项解析程序并强制版本2.5
configurations.all {
resolutionStrategy.eachDependency { DependencyResolveDetails details ->
if (details.requested.group == "org.apache.logging.log4j") {
println "Updating version for: $details.requested.group:$details.requested.name:$details.requested.version --> 2.5"
details.useVersion '2.5'
}
}
}
我的意见,我可能不想一直resolutionStrategy
中添加检查,所以最好只在dependencyInsights
中追踪它。 这也意味着在两个地方更新版本,如果另一个开发人员不知道 gradle 的resolutionStrategy
是如何工作的,那么他们将有"奇怪"的行为......例如。我将log4j
更新为 2.7
但它仍然构建2.5
?!?!
但两者都是有效的方法
当我想确保依赖项永远不会添加到项目中时,我通常会回退到这一点。
configurations {
all*.exclude group: 'org.apache.logging.log4j', module: 'log4j-slf4j-impl', version '2.4.1'
}
但是,您确定需要排除依赖项吗?它不应该是构建罐/战争的一部分。您可以使用"gradlew 依赖项"检查所有依赖项。
不知何故,问题是我将 log4j 声明为运行时依赖项:
ext {
log4jVersion="2.5"
}
runtime (
"org.apache.logging.log4j:log4j-slf4j-impl:$log4jVersion",
"org.apache.logging.log4j:log4j-api:$log4jVersion",
"org.apache.logging.log4j:log4j-core:$log4jVersion"
)
这导致了版本 2.4.1 被一些编辑器魔术作为编译依赖项获取的情况。
因此,我在类路径上有 2.4.1 和 2.5。
一旦我宣布 log4j 为编译依赖项 2.4.1 就消失了......