问题背景 #

我在导入MapDB 3.1.0时，发现它对Guava的依赖采用了开放版本范围配置：

<guava.version>[15.0,)</guava.version>
...
<dependency>
    <groupId>com.google.guava</groupId>
    <artifactId>guava</artifactId>
    <version>${guava.version}</version>
</dependency>

我知道版本范围通常不推荐使用，但仅了解这一点。原本预期Maven会下载构件的maven-metadata.xml，按版本排序规则筛选出符合范围的最新版本并下载使用。但在Maven 3.9中实际情况完全不符：

• 它会下载范围内所有200个版本的POM及其父POM
• 其中某个版本的父POM不存在，直接导致构建失败
• 扫描完所有版本后，Maven还会选定一个已确认无法获取的版本

我想知道这一问题的根源，以及不涉及排除依赖或指定特定版本的通用解决方案。

问题根源 #

1. Maven 3.9版本范围解析逻辑变更：Maven 3.9对版本范围解析做了严格调整，为了确保版本的有效性（比如处理快照版本一致性、镜像仓库同步问题），不再仅依赖maven-metadata.xml中的最新版本信息，而是会遍历范围内所有可用版本，逐个校验POM的完整性（包括父POM是否可获取）。
2. 仓库元数据完整性问题：部分Guava旧版本的父POM在你的仓库（或镜像）中缺失，可能是仓库同步不完整、旧版本构件被清理，或是该版本发布时本身就存在元数据缺陷。
3. 开放版本范围的放大效应：[15.0,)这种无上限的范围覆盖了大量版本，只要其中一个版本的元数据有问题，就会触发遍历校验失败，且Maven的版本选择逻辑可能因校验异常出现错误判断，选中无法获取的版本。

通用解决方案 #

• 启用元数据优先的版本范围解析：在Maven的settings.xml中添加如下配置，强制Maven优先使用仓库元数据确定符合范围的最新版本，避免全版本遍历：

  <profiles>
      <profile>
          <id>metadata-first-range-resolve</id>
          <properties>
              <maven.version.range.metadata.priority>true</maven.version.range.metadata.priority>
          </properties>
      </profile>
  </profiles>
  <activeProfiles>
      <activeProfile>metadata-first-range-resolve</activeProfile>
  </activeProfiles>
  

• 优化仓库版本管理：如果使用企业内部仓库（如Nexus、Artifactory），配置版本保留策略，清理掉有元数据缺陷的旧版本，仅保留稳定、完整的版本，从源头减少无效版本的干扰。
• 调整依赖校验级别：通过启动参数将依赖校验级别改为警告，避免因单个版本的元数据问题终止构建：

  mvn clean install -Dmaven.dependency.validation=warn
  

  此方法需注意权衡，可能会忽略部分真实的依赖完整性问题。

内容的提问来源于stack exchange，提问作者alamar