背景
公司扫描服务依赖项的时候,发现服务中有引用了logback的包,因版本过低,需要升级才能修复风险。
通过maven的 Dependency Analyzer 工具,确实找到了一些,排掉后,扫描发现,还存在!
于是使用 mvn dependency tree 打印依赖树的形式去查看,
一开始是在Idea 的控制台上,打印出依赖树后,再 ctrl + f 进行查找!—— 没有!
懵逼了。
为什么依赖树都找不到了,它还是被扫描出来了呢?
会不会是有模块虽然没有被主项目依赖进来,但还是被扫描了呢?—— 确认了一下,把这类型的模块干掉了,但问题依然没有解决?
难道这个依赖树也是“假”的?
经过两三天的捣鼓,终于发现,原来是打印依赖树的内容太多,idea 的日志是有行数据限制的,就把最开始的内容给刷掉了。。。先把依赖树输出到文件,这样就不会丢失内容,也就发现logback 是从哪里引进来了。。。。
(emmmm, 这个有一点。。。)