这是一个创建于 618 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司在验证 maven 以来的漏洞,扫到了如下
名称: jdom-1.1 高危漏洞 位置: 我的应用/pom.xml/[com.公司.bs:我的应用:1.0.0]/[公司内部依赖.gsdk:g-sdk:2.2.6.2]/[com.aliyun.oss:aliyun-sdk-oss:3.6.0]/[org.jdom:jdom:1.1] 如何在 maven 中修改 org.jdom:jdom 这个依赖的版本?
 | 1 BBCCBB 2024-01-31 11:53:04 +08:00 在 aliyun 的依赖里排除掉这个依赖, 然后在你的项目里手动把这个依赖的高版本加上. 不过可能会导致不兼容.. |
 | 2 Nnq 2024-01-31 11:55:43 +08:00 via Android 看下是哪个包用这个版本 然后该升级升级 |
 | 3 breadykidliu OP @BBCCBB 请问是这样改吗? ``` <dependency> <groupId>com.公司内部依赖.gsdk</groupId>//这个依赖里引用了 aliyun-sdk-oss <artifactId>g-sdk</artifactId> <version>2.2.6.2</version> </dependency> <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>aliyun-sdk-oss</artifactId> <exclusions> <exclusion> <artifactId>jdom</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.jdom</groupId> <artifactId>jdom</artifactId> <version>无漏洞版本号</version> </dependency> ``` |
| 4 BBCCBB 2024-01-31 13:25:52 +08:00 你尝试下看行不行, 不行的话就这样试试. ```xml <dependency> <groupId>com.公司内部依赖.gsdk</groupId>//这个依赖里引用了 aliyun-sdk-oss <artifactId>g-sdk</artifactId> <version>2.2.6.2</version> <exclusions> <exclusion> <groupId>org.jdom</groupId> <artifactId>jdom</artifactId> </exclusion> </exclusions> </dependency> ``` |
 | 5 yidinghe 2024-01-31 15:30:30 +08:00  1 在你的应用当中直接添加 jdom 依赖并使用你想要的版本即可。你的应用会优先使用直接依赖所指定的版本。 |
 | 6 amanisheir 2024-01-31 16:08:03 +08:00 1 dependencyManagement 直接提高版本试试,看兼容不 |
 | 7 cslive 2024-01-31 16:45:29 +08:00 1 <dependencyManagement > 指定版本,全局生效 |
 | 8 wolfie 2024-01-31 16:47:06 +08:00 1 当前项目手动引入就行,最短路径依赖优先生效。 |
 | 9 blackmirror 2024-01-31 16:55:14 +08:00 先排除,再手动引入吧 |
 | 10 hexiaowu1993 2024-01-31 17:37:07 +08:00 1 在父 pom 的 dependencyManagement 手动管理子依赖的版本,这样依赖的就是你手动管理的版本。 可以通过 mvn dependency:tree > 1.txt 查看依赖树的输出结果(如果不出现依赖冲突) |
Select Language