公司在验证 maven 以来的漏洞,扫到了如下
名称:
jdom-1.1 高危漏洞
位置:
我的应用/pom.xml/[com.公司.bs:我的应用:1.0.0]/[公司内部依赖.gsdk:g-sdk:2.2.6.2]/[com.aliyun.oss:aliyun-sdk-oss:3.6.0]/[org.jdom:jdom:1.1]
如何在 maven 中修改 org.jdom:jdom 这个依赖的版本?
1
BBCCBB 348 天前
在 aliyun 的依赖里排除掉这个依赖, 然后在你的项目里手动把这个依赖的高版本加上. 不过可能会导致不兼容..
|
2
Nnq 348 天前 via Android
看下是哪个包用这个版本 然后该升级升级
|
3
breadykidliu OP @BBCCBB 请问是这样改吗?
``` <dependency> <groupId>com.公司内部依赖.gsdk</groupId>//这个依赖里引用了 aliyun-sdk-oss <artifactId>g-sdk</artifactId> <version>2.2.6.2</version> </dependency> <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>aliyun-sdk-oss</artifactId> <exclusions> <exclusion> <groupId>org.jdom</groupId> <artifactId>jdom</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.jdom</groupId> <artifactId>jdom</artifactId> <version>无漏洞版本号</version> </dependency> ``` |
4
BBCCBB 348 天前
你尝试下看行不行, 不行的话就这样试试.
```xml <dependency> <groupId>com.公司内部依赖.gsdk</groupId>//这个依赖里引用了 aliyun-sdk-oss <artifactId>g-sdk</artifactId> <version>2.2.6.2</version> <exclusions> <exclusion> <groupId>org.jdom</groupId> <artifactId>jdom</artifactId> </exclusion> </exclusions> </dependency> ``` |
5
yidinghe 348 天前 1
在你的应用当中直接添加 jdom 依赖并使用你想要的版本即可。你的应用会优先使用直接依赖所指定的版本。
|
6
amanisheir 348 天前 1
dependencyManagement 直接提高版本试试,看兼容不
|
7
cslive 348 天前 1
<dependencyManagement > 指定版本,全局生效
|
8
wolfie 348 天前 1
当前项目手动引入就行,最短路径依赖优先生效。
|
9
blackmirror 348 天前
先排除,再手动引入吧
|
10
hexiaowu1993 348 天前 1
在父 pom 的 dependencyManagement 手动管理子依赖的版本,这样依赖的就是你手动管理的版本。
可以通过 mvn dependency:tree > 1.txt 查看依赖树的输出结果(如果不出现依赖冲突) |