>我想介绍我的github动作,gradle依赖性-diff-action。通过此操作,您可以轻松检查gradle依赖性如何由于拉的请求而变化。
由于gradle可以更固定地解决库的依赖性,因此有时会发生无意的依赖性变化。
例如,假设您更新一个名为tink的库,如下所示。乍一看,它看起来只是一个较小的更新。当您通过此类更改获得拉动请求时,您可能会很快批准它,假设没有问题。
dependencies {
- implementation("com.google.crypto.tink:tink:1.13.0")
+ implementation("com.google.crypto.tink:tink:1.14.0")
implementation("com.google.protobuf:protobuf-java:3.25.1")
}
但是,丁克实际上取决于protobuf-java,由于此更新,依赖性变化如下:protobuf-java悄悄地从3.25.1升至4.27.0。在gradle中,当依赖版本发生冲突时,它基本上会采用最新版本。>
-+--- com.google.crypto.tink:tink:1.13.0 ++--- com.google.crypto.tink:tink:1.14.0 | +--- com.google.code.findbugs:jsr305:3.0.2 | +--- com.google.code.gson:gson:2.10.1 | +--- com.google.errorprone:error_prone_annotations:2.22.0 -| \--- com.google.protobuf:protobuf-java:3.25.1 -\--- com.google.protobuf:protobuf-java:3.25.1 +| \--- com.google.protobuf:protobuf-java:4.27.0 +\--- com.google.protobuf:protobuf-java:3.25.1 -> 4.27.0
以这种方式,仅通过查看“拉动请求中的代码差异”,就可以看到“隐藏的差异”。
。 我创建了gradle依赖性-diff-action来可视化这些隐藏的差异。
>
实际上存在一个错误,涉及protobuf-java 3.x和4.x之间的向后不兼容。结果,许多人在上述示例之类的情况下遇到了问题。
- >
-
旁注2 https://github.com/tink-crypto/tink-java/issues/31 >最近,gradle引入了称为“依赖关系锁定”的东西,这有点像npm中的包装锁。但是,它似乎并不是很受欢迎。我自己尝试过,感觉有些不便……(我不会在这里详细介绍。
-
-
什么是gradle依赖性-diff-action?
- 此操作解决了上述通过以下拉动请求所描述的问题:
> 检测拉动请求引起的gradle依赖关系的任何差异。
描述github检查中的差异
>向拉请求发表评论
- >向拉请求添加标签
- >将依赖性差异上传到文本和html格式的github动作伪像
应用项目报告插件
>
plugins {
//...
`project-report` // here !
}
写一个工作流程
首先,尝试编写下面的工作流程。开始很容易。
>
name: CI
on:
pull_request:
jobs:
dependencies-diff:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-java@v4
with:
distribution: temurin
java-version: 17
- uses: be-hase/gradle-dependency-diff-action@v1
它如何获得依赖项差异?
简而言之,通过应用项目报告插件,我们可以使用依赖项报告任务。我们在基本分支和当前分支上都运行此任务,然后删除输出的差异。
>
概括
>我们引入了gradle依赖性 - 差异 - 一种github动作,可视化gradle依赖性的意外变化。
请尝试一下!
>
