Что относительно новых версий сторонних библиотек?

Question

Я поддерживаю библиотеку Java с открытым исходным кодом, которая имеет некоторые зависимости от сторонних библиотек (например, commons-beanutils: commons-beanutils-1.8.3). Во время разработки я просто добавил самую последнюю версию таких библиотек для моего pom. Теперь я внес некоторые изменения в свою библиотеку и понял, что эти версии не более поздние.

Теперь я задаюсь вопросом, какая стратегия - лучшая практика с такими зависимостями.

Мое чувство говорит пробег mvn versions:use-latest-releases test.

Answer 1

Я бы рекомендовал использовать mvn versions:display-dependency-updates и обновить соответствующие библиотеки вручную.

Не обязательно всегда использовать последнюю версию библиотеки.

Обычно следует обновить зависимости, если:

• вам нужна особенность новой версии (для крупных и мелких выпусков)
• обновление устраняет известную ошибку (что влияет на вас)
• обновление устраняет проблему безопасности.
• устраняет несовместимость с другой зависимостью

В противном случае, останавливаться на текущую версию.

Возможно, вы можете использовать диапазоны версий commons-beanutils:commons-beanutils:[1.8.0,1.9.0), чтобы всегда использовать последнюю версию исправления. Обратите внимание, однако, что это приводит к невоспроизводимым сборкам и должно быть изменено до выпуска вашего проекта.