如何解决 Maven/Gradle 中的多级间接缺失依赖地狱？

Question

我们有一个项目依赖于 Aspose Words 的com.aspose:aspose-words:16.10.0:jdk16。

aspose-words 的 POM 声明没有依赖关系，但事实证明这是一个谎言。它实际上使用jai-core，最新版本在javax.media:jai-core:1.1.3。

不过，jai-core 的 POM 也存在问题 - 它声明没有依赖关系，但实际上依赖于 jai-codec，它位于 com.sun.media:jai-codec:1.1.3。

让这些项目来解决问题似乎不切实际。 JAI 基本上是一个死项目，Maven Central 不知道是谁添加了 POM，因此没有人负责修复元数据。 Aspose 拒绝在没有测试重现的情况下修复问题，即使您可以向他们展示他们自己的代码做错了，即使他们修复了它，他们也会添加对 jai-core:1.1.3 的依赖，这无论如何只能解决一半的问题。

如果我查看整个依赖关系树，这只是问题的一个示例。其他人正在潜伏，被其他依赖链掩盖，巧合地拉动了缺失的依赖。在某些情况下，我们甚至向项目报告了 POM 问题，只是让他们说依赖“不是真实的”，尽管他们的类明确引用了另一个库中的类。

我能想到几个同样尴尬的选择：

• 创建jai-core:1.1.3.1 和aspose-words:16.10.0.1 并修复它们的POM 以包含缺少的依赖项，但是将来更新它们的人都必须做同样的事情。另外，我不知道哪个恰好依赖于jai-core 的任何其他库也必须更新。
• 从我们自己的项目中添加一个依赖项，即使它确实不是一个。
• 为现在存在的版本编辑 POM 以直接解决问题，唯一需要注意的是人们可能缓存了错误的版本。

所以我想我有两个相关的问题：

• 没有适当的方法可以解决这个问题吗？似乎任何非玩具项目最终都会遇到这个问题，因此没有明显正确的方法来处理它令人担忧。
• 有没有办法阻止不正确的依赖元数据首先进入工件服务器？这有点失控了，因为团队中的其他开发人员正在添加依赖项而没有正确检查事情，然后当一年后出现问题时，我不得不清理他们的错误。

Answer 1

Tunaki 已经给出了很多好的方法。让我添加以下内容：

我们不得不处理许多遗留 jar，它们是 MavenCentral 上现有 jar 的一些旧版本或奇怪版本。我们给了他们一个特殊的版本号（比如 1.2.3-companyname），并为他们创建了一个符合我们目的的 POM。这或多或少是您的第一个“尴尬选择”。在你的情况下，这就是我想要的；另外，我会在 dependencyManagement 中定义版本，这样 Maven 依赖中介就不会将其设置为其他版本。

如果您的 jar 有新版本出现，您可以检查它是否仍然存在相同的问题（如果他们进行了正确的 Maven 构建，他们应该在 POM 中包含所有依赖项）。如果是这样，您需要再次修复它。

我不会为已经存在的版本更改 pom，因为它会使人们感到困惑并且可能导致不一致的问题，因为如果旧版本已经在本地存储库中，Maven 将不会获取新的 POM。如果您要管理的项目很少，那么您可以选择将依赖项添加到您自己的项目中，这样您仍然可以看到正在发生的事情（对 POM 中的依赖项进行适当的注释可以使其更清晰）。

Answer 2

JAI 对于 Aspose.Words for Java 是可选的。 Aspose.Words for Java 仅在可用时才使用 JAI 图像编码器和解码器。如果没有 JAI，它也可以正常工作。

编解码器补充了标准 java ImageIO 编码器/解码器。最显着的新增功能是对 Tiff 的支持。

JAI（Java 高级成像）不是常用的库。首先 - 它是本机库。 IE。它对不同的平台有单独的分布。它还具有“可移植的”纯 Java 分布式，但如果您想要 JAI 的全部功能 - 您应该坚持使用本机选项。

另一件事：通常您应该在主机系统上运行 JAI 本地分发的安装。 IE。它像桌面应用程序一样安装，而不像通常的 java 库。同样，JAI 编解码器的行为与通常的库不同：如果它安装在系统上 - 它将插入 ImageIO，与类路径无关。

所以，我不知道使用 Maven 安装 JAI 的好方法 - 就像使用 Maven 安装 Skype 或任何其他桌面应用程序一样。但恕我直言，我不是 Maven 方面的专家:)