这是一个创建于 703 天前的主题,其中的信息可能已经有所发展或是发生改变。
一个两年前的练手项目,如今打开之后 pom 里一片黄色的 vulnerability 警告,有些依赖升级到最新版也依然有漏洞,咋办,放着不管算了?对于树状甚至网状的复杂依赖关系,可能永远都无法完全保证没有漏洞吧,也许只能寄希望于漏洞代码在项目中不会被触发?
 |
1
hingbong 2022-12-05 22:58:36 +08:00
如果是乙方,看甲方有没有叫你更新,不然能跑就行
|
 |
2
Oktfolio 2022-12-05 23:54:55 +08:00
消不完,就连 Spring 都有
|
 |
3
XuYijie 2022-12-06 00:19:01 +08:00 via Android  2
这个是 idea 的 Maven helper 扫描的,把插件卸载就看不到了
|
 |
4
SingeeKing 2022-12-06 00:36:44 +08:00 via iPhone
「这个是 idea 的 Maven helper 扫描的,把插件卸载就看不到了」
这也太掩耳盗铃了 |
 |
5
zoharSoul 2022-12-06 00:42:27 +08:00
把告警关了就行
|
 |
6
theniupa 2022-12-06 09:06:53 +08:00
一楼说甲方的很真实,没人找就不管他呗,练手的东西无所谓,看多了就麻了
如果是 toG 项目的尽早发现有利,不要等到项目结了大半年,突然甲方通知扫出了几个漏洞,要补漏洞,log4j 的那段时间搞的很惨... 一而再而三而四.... |
 |
8
xiaohundun 2022-12-06 10:43:16 +08:00
早些时候我也会很在意这些黄色,现在嘛。。能用就行
|
 |
9
xuanbg 2022-12-06 11:18:38 +08:00
能升级的升个级,不能或者升了还报警的,就无视了。
|
 |
10
Rebely 2022-12-06 13:56:28 +08:00 2
我好想最近眼神不太好, 帖子一眼望去只看见了 porn 和黄色
|
 |
11
qwertyzzz 2022-12-06 16:04:06 +08:00
关了 idea ?
|
Select Language