What’s BOM

BOM（Bill of Materials） 是由Maven提供的功能,它通过定义一整套相互兼容的jar包版本集合，使用时只需要依赖该BOM文件，即可放心的使用需要的依赖jar包，且无需再指定版本号。

Bom 通常是项目中单独的一个模块，即只有单个pom.xml文件的module，并配合 dependencyManagement 等标签实现项目的全局依赖统一管理

BOM的维护方负责版本升级，并保证BOM中定义的jar包版本之间的兼容性。

Why Bom

1. 方便使用者在声明依赖的客户端时不需要指定版本号外，

2. 最主要的原因是可以解决依赖冲突

舉個例子

• 项目A依赖项目B 2.1和项目C 1.2版本：

• 项目B 2.1依赖项目D 1.1版本；

• 项目C 1.2依赖项目D 1.3版本；

在该例中，项目A对于项目D的依赖就会出现冲突，按照maven dependency mediation的规则，最后生效的可能是:项目A中会依赖到项目D1.1版本（就近原则，取决于路径和依赖的先后,和Maven版本有关系）。

在这种情况下，由于项目C依赖1.3版本的项目D，但是在运行时生效的确是1.1版本，所以在运行时很容易产生问题，如 NoSuchMethodError, ClassNotFoundException等，有些jar包冲突定位还是比较难的，这种方式可以节省很多定位此类问题的时间。

---

常見的官方BOM

Each project has it’s own maven bom file

请注意，没有通用或通用的bom文件。每个项目（如果支持此功能）都提供自己的bom文件，并管理其相关依赖项的版本。

Spring、SpringBoot、SpringCloud自身都采用了此机制来解决第三方包的冲突 .

建議项目中也建议使用此优良传统, 尤其实在项目开发初期，在后期再修改成BOM可能涉及很多版本的修改，就比较难了。

---

Spring Maven BOM dependency

<dependencyManagement><dependencies><dependency><groupId>org.springframework</groupId><artifactId>spring-framework-bom</artifactId><version>4.0.1.RELEASE</version><type>pom</type><scope>import</scope></dependency></dependencies>
</dependencyManagement>

SpringBoot SpringCloud Maven BOM dependency

<dependencyManagement><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-dependencies</artifactId><version>2.4.4</version><type>pom</type><scope>import</scope></dependency><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><version>2020.0.2</version><type>pom</type><scope>import</scope></dependency></dependencies>
</dependencyManagement>

JBOSS Maven BOM dependency

<dependencyManagement><dependencies><dependency><groupId>org.jboss.bom</groupId><artifactId>jboss-javaee-6.0-with-tools</artifactId><version>${some.version}</version><type>pom</type><scope>import</scope></dependency></dependencies>
</dependencyManagement> 

RESTEasy Maven BOM dependency

<dependencyManagement><dependencies><dependency><groupId>org.jboss.resteasy</groupId><artifactId>resteasy-bom</artifactId><version>3.0.6.Final</version><type>pom</type><scope>import</scope></dependency></dependencies>
</dependencyManagement>

Jersey Maven BOM dependency

<dependencyManagement><dependencies><dependency><groupId>org.glassfish.jersey</groupId><artifactId>jersey-bom</artifactId><version>${jersey.version}</version><type>pom</type><scope>import</scope></dependency></dependencies>
</dependencyManagement>

---

How Bom

定义BOM

BOM本质上是一个普通的POM文件，区别是对于使用方而言，生效的只有 <dependencyManagement>这一个部分。

只需要在<dependencyManagement>定义对外发布的客户端版本即可，比如需要在项目中统一所有SpringBoot和SpringCloud的版本

我們以 YuDao為例看一下

整體結構

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>cn.iocoder.boot</groupId><artifactId>yudao-dependencies</artifactId><version>${revision}</version><packaging>pom</packaging><name>${project.artifactId}</name><description>基础 bom 文件，管理整个项目的依赖版本</description><url>https://github.com/YunaiV/ruoyi-vue-pro</url><properties><revision>1.8.0-snapshot</revision><!-- 统一依赖管理 --><spring.boot.version>2.7.13</spring.boot.version><!-- Web 相关 --><springdoc.version>1.6.15</springdoc.version>......</properties><dependencyManagement><dependencies>....</dependencies></dependencyManagement></project>

重點來了 ，如下 dependencyManagement

<dependencyManagement><dependencies><!-- 统一依赖管理 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-dependencies</artifactId><version>${spring.boot.version}</version><type>pom</type><scope>import</scope></dependency><!-- 业务组件 -->.....</dependencies></dependencyManagement>

---

其他工程使用的方法

在项目主pom.xml文件中<dependencyManagement></dependencyManagement>节点下加入BOM的GAV信息如

我們還是以YuDao為例看一下

   <dependencyManagement><dependencies><dependency><groupId>cn.iocoder.boot</groupId><artifactId>yudao-dependencies</artifactId><version>${revision}</version><type>pom</type><scope>import</scope></dependency></dependencies></dependencyManagement>

在需要使用相关JAR包的pom.xml文件中<dependencies></dependencies>节点下引入如下：

我们还是以YuDao的另外一个子模块为例

这种设置后，如果项目要求升级Spring版本，只需要在提供方升级验证兼容性，然后修改BOM依赖即可

如果需要使用不同于当前bom中所维护的jar包版本，则加上<version>覆盖即可, 比如

<dependencies><!--此时用到Spring和Gson都不需要加版本号,会自动引用BOM中提供的版本--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-openfeign</artifactId></dependency><dependency><groupId>com.google.code.gson</groupId><artifactId>gson</artifactId><!--会覆盖掉BOM中声明的版本2.8.6，使用自定义版本2.8.2--><version>2.8.2</version></dependency>
</dependencies>

---

BOM VS POM

首先，BOM 只是普通的 pom.xml 文件 - 它们不包含源代码，其唯一目的是声明其包含的模块。它定义了将在库中创建的所有构件的版本。希望使用该库的其他项目应在其 pom 的依赖管理部分导入此 pom。

POM 文件不仅仅是依赖关系。例如组织和许可证，项目的 URL，项目的依赖，插件，配置文件等许多信息。它还控制项目的整个构建过程。