我正在我的应用程序中使用apache hive-jdbc(https://mvnrepository.com/artifact/org.apache.hive/hive-jdbc)jar。
在运行Snyk工具扫描时,我发现了许多漏洞。
我已经在使用最新版本的hive-jdbc(3.1.2),所以没有选项升级它来摆脱漏洞。
此版本3.1.2于2019年8月发布,因此它有许多内部依赖项,这些依赖项相当旧并且存在漏洞。
因此,我正在寻找任何替代jar在maven回购,这样我就可以摆脱这些漏洞。
如有任何建议,我们将不胜感激。
谢谢马亨德拉
1条答案
按热度按时间tp5buhyn1#
寻找资源的请求是离题的,所以我不解决这个问题。
(不过我怀疑,如果您在Maven Central中的搜索没有找到更好的JAR发布版本,那么就不会有这样的版本。)
如有任何建议,我们将不胜感激。
我的建议是:
1.在Apache Hive项目的问题跟踪器中提出问题,以发布更新了不安全依赖项的新版本。
1.从源存储库中下载相关组件,更新POM中的依赖项,并在本地构建。然后在项目中使用您构建的组件。
1.为可传递依赖项的安全版本向POM添加显式依赖项。如果我理解正确的话,这将使用您指定的版本覆盖可传递发现的版本。
通过检查Maven构建将哪些JAR文件版本打包到WAR文件中,您应该能够确认此操作是否有效。
1应该是一个长期的解决方案。#2和#3是短期的解决方案...直到Apache Hive团队发布了一个更新了依赖关系的版本。