Как проверить наличие обновлений зависимостей в Gradle?

| December 20, 2022

Каждый раз, добавляя новую библиотеку в проект, встаёт вопрос о том, можно ли обойтись без неё. И не удивительно, ведь нам, разработчикам, итак приходится поддерживать зоопарк библиотек в наших проектах. Каждая новая добавляет рутинной работы по поиску, обновлению и миграции библиотек на новые версии. И если миграцию на новые версии за нас никто не выполнит, то поиск обновлений можно автоматизировать. Именно об этом, Я и расскажу в этой статье.

А зачем вообще обновлять зависимости?

Мы живём в 21ом веке, веке цифровизации всего и вся. Каждый день очередная группировка хакеров взламывает информационные системы очередной компании. Это актуально особенно сейчас, когда геополитическая обстановка изменилась.

Многие попытки взломать информационную систему завершаются успехом из-за того, что создатель самой информационной системы не удосужился обновлять кодовую базу и используемые зависимости вовремя. В любом софте, любых библиотеках и фреймворках находятся уязвимости, используемые для взлома. Вспомнить хотя бы громкую находку в Apache Log4j, которая заставила буквально всех разработчиков срочно вносить исправления в собственные системы.

Для решения проблемы использования устаревших библиотек давно созданы сервисы вроде Dependabot или Renovate. Однако, для Java разработчиков, есть способы получать информацию о имеющихся обновлениях гораздо проще и быстрее - gradle-versions-plugin.

Gradle Versions Plugin

Информацию о проекте и инструкции можно найти на официальной странице проекта на GitHub.

Установка

Для того, чтобы начать использовать плагин в Вашем gradle проекте, достаточно добавить плагин в Ваш build.gradle файл проекта. В секцкию plugins нужно включить следующее объявление:

id 'com.github.ben-manes.versions' version '0.44.0'

где 0.44.0 - это наиболее актуальная версия плагина на момент написания статьи.

И это всё.

Использование

С добавлением плагина, в Вашем gradle проекте появилась новая таска - dependencyUpdates, которая и формирует отчёт о состоянии зависимостей Вашего проекта. Чтобы воспользоваться новой таской, достаточно выполнить следующую команду:

gradle dependencyUpdates

Полный отчёт по зависимостям, используемым в проекте будет выведен в терминал.

Пример

Теперь посмотрим на живой пример того, как выглядит работа плагина. Для этого, я создал сгенерировал новый Java проект, используя команду gradle init. Ответив на все вопросы генератора, я получил проект с небольшим количество зависимостей - самое то, для демонстрации работы плагина.

После добавления плагина в проект, мой build.gradle файл стал выглядеть следующим образом:

plugins {
    id 'application'
    id 'com.github.ben-manes.versions' version '0.44.0'
}

repositories {
    mavenCentral()
}

dependencies {
    implementation 'com.google.guava:guava:31.1-jre'
}

testing {
    suites {
        test {
            useJUnitJupiter('5.8.0')
        }
    }
}

application {
    mainClass = 'ru.anverbogatov.App'
}

Выполним gradle dependencyUpdates для получения отчёта о наличии обновлений зависимостей нашего проекта:

$ gradle dependecyUpdates

> Task :app:dependencyUpdates

------------------------------------------------------------
:app Project Dependency Updates (report to plain text file)
------------------------------------------------------------

The following dependencies are using the latest milestone version:
 - com.github.ben-manes.versions:com.github.ben-manes.versions.gradle.plugin:0.44.0
 - com.google.guava:guava:31.1-jre

The following dependencies have later milestone versions:
 - org.junit.jupiter:junit-jupiter [5.8.0 -> 5.9.1]
     https://junit.org/junit5/

Gradle release-candidate updates:
 - Gradle: [7.6: UP-TO-DATE]

Generated report file build/dependencyUpdates/report.txt

Из отчёта сразу же видно, что версия JUnit, используемая в проекте, имеет обновления:

The following dependencies have later milestone versions:
 - org.junit.jupiter:junit-jupiter [5.8.0 -> 5.9.1]

Исправим версию JUnit в проекте на последнюю, обновив номер версии в build.gradle файле:

...
testing {
    suites {
        test {
            useJUnitJupiter('5.9.1')
        }
    }
}
...

И выполним команду gradle dependecyUpdates ещё раз, для того, чтобы убедиться, что теперь мы используем самые свежие версии зависимостей:

$ gradle dependencyUpdates

> Task :app:dependencyUpdates

------------------------------------------------------------
:app Project Dependency Updates (report to plain text file)
------------------------------------------------------------

The following dependencies are using the latest milestone version:
 - com.github.ben-manes.versions:com.github.ben-manes.versions.gradle.plugin:0.44.0
 - com.google.guava:guava:31.1-jre
 - org.junit.jupiter:junit-jupiter:5.9.1

Gradle release-candidate updates:
 - Gradle: [7.6: UP-TO-DATE]

Generated report file build/dependencyUpdates/report.txt

Теперь, наш проект использует самые последние версии библиотек.

Заключение

gradle-versions-plugin прекрасно работает как на небольших проектах, так и на больших, со множеством библиотек. Особенно удобно получать информацию о наличии новых версий в Spring Boot проектах, где количество различных зависимостей огромно.

Консольная команда и вывод отчёта в терминал, так же делают данный плагин превосходным кандидатом на включение в Ваши CI pipeline’ы.

Список материалов

Дополнительные материалы