java—如何修正我在项目中使用的另一个库所使用的易受攻击的依赖关系?

zsohkypk  于 2021-07-24  发布在  Java
关注(0)|答案(1)|浏览(631)

我使用的是ApacheMaven3.6.3和SpringBoot1.5,没有微服务架构。我正在执行一项任务,以修复项目的依赖关系树中当前存在的易受攻击的依赖关系。logback classic就是其中之一。我可以更改顶级依赖项的版本(在顶级pom中),但无法将其版本从1.11.1升级到1.2.3,因为在一个子pom中使用的spring boot starter web starter中存在logback依赖项。
我可以排除以下版本:-

  1. <dependencies>
  2. <dependency>
  3. <groupId>org.springframework.boot</groupId>
  4. <artifactId>spring-boot-starter-web</artifactId>
  5. <version>2.2.0.RELEASE</version>
  6. <exclusions>
  7. <exclusion>
  8. <groupId>ch.qos.logback</groupId>
  9. <artifactId>logback-classic</artifactId>
  10. </exclusion>
  11. </exclusions>
  12. </dependency>

但是,我无法更新项目中某个jar的springbootstarterwebstarter的依赖树中存在的相同依赖的版本。我尝试使用标记as提供版本更新-

  1. <project>
  2. ......
  3. <dependencyManagement>
  4. <dependencies>
  5. <dependency>
  6. <groupId>ch.qos.logback</groupId>
  7. <artifactId>logback-classic</artifactId>
  8. <version>1.2.3</version>
  9. <type>pom</type>
  10. <scope>import</scope>
  11. </dependency>
  12. </dependencies>
  13. </dependencyManagement>
  14. <dependencies>
  15. <dependency>
  16. <groupId>org.springframework.boot</groupId>
  17. <artifactId>spring-boot-starter-web</artifactId>
  18. <version>2.2.0.RELEASE</version>
  19. <exclusions>
  20. <exclusion>
  21. <groupId>ch.quos.logback</groupId>
  22. <artifactId>logback-classic</artifactId>
  23. </exclusion>
  24. </exclusions>
  25. </dependency>
  26. ........
  27. </dependencies>
  28. ......
  29. <project>

注意-在中,最初我也尝试不使用&标记,但无论如何,我只能排除易受攻击的logback经典依赖项,但我无法将其更新到spring boot starter web中的1.2.3版本,该版本存在于特定的子pom中。

dohp0rv5

dohp0rv51#

你提到的库(logback经典)有许多兼容性问题
正如您在其存储库的相关问题中所看到的
我建议您尝试不同版本的spring(较新版本),并检查github问题中的结果搜索,以查找您可能找到的版本和更新

相关问题