Maven清理java项目中未使用到 jar 依赖包的方法

2025-02-10 09:44:01 作者：bug猎人

本文主要介绍了Maven清理java项目中未使用到 jar 依赖包的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

一、为什么要做这件事？

自从我踏入职场，便历经了技术革新的数次浪潮。从最初的.Net Framework、Winform、WPF，到Asp.Net MVC、Asp.Net MVC WebApi，再到Asp.Net Core 2.x的广泛应用，我始终深耕于.net领域。然而，随着技术的不断演进，我逐渐发现.net相关的工作机会变得稀少。在出租屋内，我自学了一个月的前端技术，竟意外地获得了进入某知名企业的机会，从而开启了全新的前端探索之旅。如今，我又迈入了运维的新领域。回顾过往，每一步都充满了挑战与不易。

目前，我的主要工作是为客户提供私有化项目的售后技术支持。在日常工作中，项目经常会因为客户方的漏洞扫描而暴露出一些jar包的漏洞问题，需要进行紧急修复或升级。

二、怎么做？

对于Maven项目，处理起来相对简单。Maven自身提供了一款强大的依赖分析工具，只需简单的命令输入即可轻松实现。在IntelliJ IDEA中，你可以切换到Terminal窗口，或者在命令行中导航至项目根目录，执行以下命令：

mvn dependency:analyze

随后，仔细查看控制台输出的日志信息，特别关注以下几个部分：

[INFO] --- maven-dependency-plugin:2.8:analyze (default-cli) @ xxxproject ---
[WARNING] Used undeclared dependencies found:
[WARNING]    org.springframework:spring-beans:jar:4.0.0.RELEASE:compile
[WARNING]    org.springframework:spring-context:jar:4.0.0.RELEASE:compile
[WARNING] Unused declared dependencies found:
[WARNING]    com.alibaba:dubbo:jar:2.5.3:compile
[WARNING]    com.baidu.disconf:disconf-client:jar:2.6.32:compile
[WARNING]    org.mybatis:mybatis:jar:3.2.7:compile
[WARNING]    org.mybatis:mybatis-spring:jar:1.2.2:compile
[WARNING]    mysql:mysql-connector-java:jar:5.1.41:compile
[WARNING]    com.alibaba:druid:jar:1.0.9:compile
[WARNING]    com.github.sgroschupf:zkclient:jar:0.1:compile
[WARNING]    org.apache.zookeeper:zookeeper:jar:3.4.6:compile
[WARNING]    org.springframework:spring-jdbc:jar:4.0.0.RELEASE:compile
[WARNING]    org.slf4j:log4j-over-slf4j:jar:1.7.5:compile
[WARNING]    org.slf4j:jcl-over-slf4j:jar:1.7.5:runtime
[WARNING]    ch.qos.logback:logback-classic:jar:1.0.13:compile

接下来，我们将详细解读日志中 Used undeclared dependencies found 和 Unused declared dependencies found

Used undeclared dependencies found

这一部分指的是项目中实际使用了某个依赖包，但并未在pom.xml文件中显式声明。这些依赖包可能是通过其他依赖间接引入的。

例如，假设你的项目在pom.xml中声明了对A.jar的依赖，但未声明对B.jar的依赖。而A.jar的依赖树中又包含了对B.jar的依赖。通过运行mvn dependency:analyze命令，如果输出如下警告：

mvn dependency:analyze

出现

[WARNING] Used undeclared dependencies found: B.jar

这意味着你的项目代码中实际上使用了B.jar中的类或接口。在这种情况下，你应该将B.jar添加到项目的pom.xml文件中，以确保依赖关系的正确声明。

Unused declared dependencies found

这一部分则是指你在项目的pom.xml文件中声明了某个依赖包，但在实际的项目代码中并未使用到它。这些依赖包可能是不必要的，可以考虑从pom.xml中移除。

然而，在删除这些依赖之前，请务必注意以下几点：

“未使用”的定义仅限于main/java和test源代码目录，不包括配置文件或其他可能的扩展点。
在删除依赖之前，务必备份pom.xml文件，以防万一误删重要依赖导致的问题。
Maven的依赖分析工具并非万能，有时可能会产生误报。因此，在删除任何依赖后，都应进行充分的测试以验证项目的稳定性。

三、什么时候做？

新项目初始化时：在创建新项目并添加依赖时，务必谨慎选择所需的jar包，避免盲目复制旧项目的依赖配置，从而减少后续不必要的清理工作。
功能代码重构时：在进行功能代码的重构过程中，可以顺便进行一次依赖项的审查与清理。由于后续还有自测和提测等环节，即使有误删的情况也能及时发现并修复。

四、有什么风险要注意的？

结果仅供参考：依赖分析工具的结果并非绝对准确，可能存在误判的情况。例如，某些工具可能无法识别某些特殊的使用场景（如注解处理器等）。因此，在删除依赖后，请务必进行全面的测试以验证项目的正确性。
老项目接手时的注意事项：当接手一个遗留的老项目时，可能会发现大量的依赖问题。然而，在初次接手时并不建议立即进行此类操作。由于对项目的不熟悉，贸然删除依赖可能会引发一系列难以定位的问题，从而浪费大量的时间和精力。建议在充分了解项目结构和业务逻辑后再进行此类优化工作。

五、补充一个快捷方法

使用 IntelliJ IDEA 自带的 maven 工具

使用方法

打开IntelliJ IDEA，导航至项目的pom.xml文件所在目录。
右键点击pom.xml文件，选择“Maven”菜单中的“Analyze Dependencies”选项。
IntelliJ IDEA将自动分析项目的依赖关系，并在弹出的窗口中展示分析结果。你可以根据分析结果进行相应的操作，如添加缺失的依赖或删除未使用的依赖等。

通过以上步骤，你可以在IntelliJ IDEA中轻松管理项目的依赖关系，确保项目的稳定性和可维护性。

到此这篇关于Maven清理java项目中未使用到 jar 依赖包的方法的文章就介绍到这了,更多相关Maven清理jar 内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！