Kto używa mojego artefaktu maven?

Question

Mam system składający się z wielu aplikacji internetowych (wojna) i bibliotek (jar). Wszyscy oni używają maven i są pod moją kontrolą (kod źródłowy, wbudowane artefakty w Nexusie, ...). Powiedzmy, że aplikacja A używa biblioteki L1 bezpośrednio i L2 pośrednio (jest używana z L1). Mogę z łatwością sprawdzić topologię drzewa zależności od aplikacji, używając zależności maven: tree lub graph: project plugins. Ale jak mogę sprawdzić, kto korzysta z mojej biblioteki? Z mojego przykładu chcę wiedzieć, czy A jest jedyną aplikacją (lub biblioteką) używającą L1 i że L2 jest używana z L1 iz jakiejś innej aplikacji, powiedzmy B. Czy jest jakaś wtyczka dla maven lub nexusa, czy powinienem spróbować? napisać o tym jakiś skrypt? Jakie są twoje sugestie?

Answer 1

Jeśli chcesz to osiągnąć na poziomie repozytorium Apache Archiva ma „wykorzystywane przez” funkcji wymienionych w informacji o projekcie

.

Jest to podobne do tego, co mvnrepository.com wyświetla w sekcji "używane przez" opisu artefaktu.

Niestety, Nexus nie zapewnia podobnej funkcji.

Teraz przypuszczam, że byłoby kłopotliwe utrzymanie kolejnego repozytorium tylko po to, ale wtedy prawdopodobnie byłoby łatwiej niż inne sugestie dotyczące odpowiedzi, takie jak pisanie wtyczki do Nexusa. Wierzę, że Archiva może być skonfigurowany do pośredniczenia w innych repozytoriach.

Aktualizacja

W rzeczywistości, istnieje również plugin for Nexus aby osiągnąć „używany przez” funkcji.

Answer 2

Nie sądzę, że istnieje sposób Maven, aby to zrobić. Biorąc to pod uwagę, istnieją sposoby robienia tego lub podobnych rzeczy. Oto kilka przykładów:

• Otwórz swoje projekty w swoim ulubionym IDE. Na przykład Eclipse pomoże ci w analizie wpływu na poziomie klasy, która przez większość czasu może być wystarczająco dobra.

• Użyj prostego "grep" w swoim katalogu źródłowym. To brzmi brusk bitowy (a także rzeczy oczywiste), być może, ale używaliśmy to dużo

• Korzystanie z zależnościami narzędzia analityczne, takie jak Sonargraph lub Lattix

Answer 3

O ile wiem, nic poza tym nie istnieje jako narzędzie open source. Możesz napisać wtyczkę Nexusa, która przemierza repozytorium i sprawdza użycie komponentu we wszystkich innych komponentach, wykonując iteracje przez wszystkie pom i analizując je. Byłoby to jednak dość trudne zadanie, ponieważ musiałoby patrzeć na wszystkie komponenty i analizować wszystkie poms.

W podobny sposób można to zrobić w lokalnym repozytorium za pomocą innego narzędzia. Jednak prawdopodobnie bardziej sensowne jest analizowanie zawartości menedżera repo, a nie lokalnego repozytorium.

Answer 4

Bardziej interesujące jest prawdopodobnie: co zrobiłbyś z tymi informacjami? Poinformuj twórców A, aby nie używali już biblioteki L1 lub L2, ponieważ ma ona krytyczny błąd? Moim zdaniem powinieneś być w stanie stworzyć czarną listę zależności/rodziców/wtyczek w twoim menedżerze repozytorium. Gdy projekt spróbuje wdrożyć/przesłać samodzielnie z artefaktem umieszczonym na czarnej liście, powinien zawieść. Mówię: uploading, a nie downloading, ponieważ może to zepsuć wiele projektów. O ile mi wiadomo, nie jest to jeszcze dostępne dla żadnego menedżera repozytorium.

Answer 5

Jednym ze sposobów podejścia do tego problemu jest poza samą Javą: napisać skrypt monitorujący na poziomie OS, który śledzi każdy przypadek fopen() w podanym pliku jar! Zakładając, że jest to w środowisku korporacyjnym, być może będziesz musiał poczekać kilka tygodni (!), Aby wszystkie używane procesy mogły uzyskać dostęp do biblioteki przynajmniej raz!

W systemie Windows można użyć Sysinternals Process Monitor, aby to zrobić: http://technet.microsoft.com/en-us/sysinternals/bb896645

Na Unix wariantów, należy użyć DTrace lub strace.

Answer 6

Nie znam żadnych bibliotek publicznych do tej pracy, więc napisałem dostosowaną aplikację, która robi to za mnie. Pracuję z dystrybucją, która obejmuje ponad 70 połączonych artefaktów. Wiele razy po zmodyfikowaniu artefaktu chcę zapewnić, że zmiany są zgodne z wcześniejszymi wersjami (tzn. Nie są wprowadzane błędy kompilacji w zależnych artefaktach). Aby to osiągnąć, kluczowe było poznanie wszystkich osób zależnych od zmodyfikowanego artefaktu.

Dlatego napisałem aplikację, która skanuje wszystkie artefakty w katalogu (/ podkatalogach), wyodrębnia ich pom.xml i przeszukuje (w sekcji zależności pom) dla wystąpienia zmodyfikowanego artefaktu. (Zrobiłem to w Javie, chociaż skrypt powłoki/okna może to zrobić jeszcze bardziej zwięźle.)

Chętnie udostępnię kod na github, jeśli to mogłoby być pomocne.

Answer 7

Jednym ze sposobów, który może odpowiadać Twoim potrzebom, jest stworzenie mistrzowskiego pom z wszystkimi swoimi maven projektów. Następnie uruchom następujące polecenie na pom-pom:

mvn dependency:tree -DoutputType=graphml -DoutputFile=dependency.graphml 

Otwórz wygenerowany plik w YEd.

Używane instrukcje znaleźć tutaj: http://www.summa-tech.com/blog/2011/04/12/a-visual-maven-dependency-tree-view/

Answer 8

IMHO, a także z mojego doświadczenia, szuka rozwiązania techniczne dla takiego problemu często jest przesadą. Jeśli powód, dla którego chcesz wiedzieć, kto używa twojego artefaktu (biblioteki), to dlatego, że chcesz zapewnić kompatybilność wsteczną, gdy zmieniasz artefakt lub coś podobnego, myślę, że najlepiej zrobić to, komunikując swoje zmiany za pomocą tradycyjnych kanałów, a także zachęcić innych zespoły, które mogą używać twojej biblioteki, aby o tym porozmawiać (blogi projektu, wiki, e-mail, dobrze znana lokalizacja, gdzie umieszczane są dokumentacje, Jour fixe itd.).

Teoretycznie można napisać skrypt, który przeszukuje każdy projekt w repozytorium, a następnie analizuje maven build.xml (zakładając, że wszyscy używają maven) i sprawdza, czy zdefiniowali zależność od artefaktu. Jeśli wszystkie projekty w twojej organizacji będą zgodne ze standardową strukturą maven, powinno być łatwo napisać jeden taki skrypt (chociaż jeśli któryś z tych projektów ma zależność od twojego artefaktu przez przejściową zależność, sprawy mogą być nieco bardziej skomplikowane).