我在用 spring-cloud-cloudfoundry-connector-2.0.7.RELEASE.jar 在一个项目中 com.fasterxml.jackson.core:jackson-databind:2.10.0 文件作为影子jar（即文件包含在 spring-cloud-cloudfoundry-connector jar而不仅仅是依赖关系。
问题是， jackson-databind 2.10.0现在已经知道了安全问题，但是没有更高版本的spring库包含修补过的jackson文件。所以，我需要做的是使用现有的spring库，但是使用更新的jackson库。如果它是一个普通的依赖关系，那么就很容易了，但是显然这些文件不能从spring库中删除。
因此，没有任何办法强迫maven忽略嵌入的jackson类，只使用更新的jackson库（它已经包含在我的主项目中）。
gradle构建文件（以及spring项目的其余部分）可以在这里找到：https://github.com/spring-cloud/spring-cloud-connectors/blob/master/spring-cloud-cloudfoundry-connector/build.gradle