SM
Да вот, буквально на днях искал, куда из интерфейса приложения у нас дополнительные библиотеки складываются.
Вроде бы ничего лишнего не было.
Вроде бы ничего лишнего не было.
Size: a a a
2021 April 08
ВН
Потому что какой-нибудь мудак сделал какую-нибудь библиотеку для авторизации
ВН
А другие зафиксировали её версию (в porn.xml ведь версии явно все прописываются)
ВН
И естественно её регулярным обновлением никто не занимается
ВН
Кому это нахуй надо
ВН
Если б там скажем было как в npm - semver (и если package-lock не коммитить, конечно) - то дублирования бы не было
ВН
Но там не так
ВН
Правда может если прям 1 warник, то дублирования и не будет, да... но тут чисто гипотетически можно на другой прикол наступить
ВН
У одного jar-ника внутри была зависимость от spring 1.0.0, у другого от spring 2.0.0 условно. Ну или не spring, а любой другой модуль можно взять, в т.ч. свой - там хз, у одного от auth-library 1.0.0 а у другого от auth-library 2.0.0
Дальше это пакуется в WAR и туда попадает какой-то один auth-library (или спринг)
И дальше лотерея: заработает или нет?
Дальше это пакуется в WAR и туда попадает какой-то один auth-library (или спринг)
И дальше лотерея: заработает или нет?
ВН
ОБЫЧНО работает, т.к. расхождение в версиях ОБЫЧНО небольшое
SM
Проверил прям сейчас.
Из 469 библиотек для трёх есть по одному дублю с другой версией.
Из 469 библиотек для трёх есть по одному дублю с другой версией.
ВН
Ну, уже кое-что :). А теперь ещё осталось проверить, во всех остальных версии их зависимостей совпадают? Те что указаны в porn.xml т.е. те, с которыми собирались эти jarники
SM
Единственное, в чём я тут не уверен, что все эти библиотеки действительно нужны.
SM
МОгли тупо забыть что-то выпилить из помника
SM
Но вроде бы периодически ревизии проводят
ВН
порн.xml
SM
Ещё часть библиотек может существовать в том же apache tomcat на котором приложение работает. Но это не точно.
ВН
Короче говно на говне
SM
Но это не самая большая проблема.
ВН
Это всё вместе, "теория разбитых стёкол"))