DepForge：Java第三方库类级自动定制化框架研究

《IEEE Access》：DepForge: Automated Class-Level Customization of Java Third-Party Libraries

【字体： 大 中 小 】 时间：2025年12月19日 来源：IEEE Access 3.6

　　

在现代软件开发中，大规模代码复用已成为提升开发效率的关键手段，但过度依赖第三方库就像双刃剑——虽然加速了功能实现，却也带来了代码臃肿、安全漏洞和依赖冲突等棘手问题。以主流构建工具Maven为例，项目往往会引入大量直接或传递依赖，导致最终打包的应用中超过97%的代码都来自第三方库。更令人担忧的是，这些外部代码中平均有超过40%的功能从未被实际使用，却依然占据着存储空间、增加着攻击面、拖累着维护效率。

现有解决方案主要停留在库级别的依赖管理，例如DepClean工具可以识别并移除完全未被使用的依赖库。但就像图1所示案例，在woodstox-core项目中，即使移除了3个冗余依赖后，剩余依赖库中仍有27.84%的类从未被调用。这种"部分冗余"现象在现实项目中普遍存在，而传统工具对此无能为力。

为解决这一瓶颈，东北大学的朱志亮和宋晓虎团队在《IEEE Access》上提出了DepForge框架，其创新之处在于将依赖优化粒度从库级别细化到类级别。该框架通过构建精确的调用图，识别每个依赖库中实际被项目调用的类集合，然后移除所有未被引用的字节码，最后重新打包成定制化的依赖版本并更新项目配置。

关键技术方法

研究团队采用三阶段技术路线：首先基于SootUp框架构建从项目入口方法出发的完整调用图，通过常量传播技术解决反射调用难题；其次对每个依赖库进行类级别裁剪，保留接口、抽象类等必要组件；最后通过依赖树重构和构建验证确保语义正确性。实验选取34个GitHub高星Java项目，涵盖2.5万测试用例，使用JaCoCo评估测试覆盖率。

研究结果

RQ1：依赖级去膨胀效果有限

通过DepClean工具对34个项目分析发现，仅能移除95个完全冗余依赖（占依赖总数的7.5%），对应5,527个类（占总依赖类1.44%）。项目自有代码占比从2.82%微升至2.86%，证明库级别优化存在明显天花板。

RQ2：定制化依赖保持构建正确性

DepForge在26个项目（76.47%）中实现完全定制化，8个项目实现部分定制化。累计成功定制1,019个非冗余依赖（占80.94%），所有定制后项目均通过完整测试套件验证。失败案例主要源于动态语言特性导致的静态分析局限。

RQ3：类级定制显著提升去膨胀效果

如图2所示，DepForge累计移除161,383个冗余类，占依赖类总数的41.96%。在woodstox项目中，将项目自有代码占比从14.05%提升至32.35%；在jooby项目中更是移除88.4%的依赖类。整体将项目自有代码占比提升至4.85%，较原始状态提升72%。

结论与展望

研究表明，DepForge通过类粒度依赖定制，有效解决了传统工具无法处理的"部分冗余依赖"问题。该框架不仅减少了42%的第三方代码量，更通过本地Maven仓库集成实现了即插即用的自动化部署。未来工作将重点突破动态特性支持、大规模依赖树优化等挑战，进一步推动软件供应链的精细化管理。这项研究为构建轻量级、高安全的软件生态系统提供了重要技术支撑，特别是在容器化部署和边缘计算等资源受限场景中具有广泛应用前景。