当前位置:首页 » 《随便一记》 » 正文

pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告

11 人参与  2023年05月06日 08:17  分类 : 《随便一记》  评论

点击全文阅读


警告出现

构建springboot3项目时,pom文件的spring-boot-starter-web依赖部分整体高亮,

显示Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33

        <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-web</artifactId>        </dependency>

警告原因

这个警告提示我们的Maven项目中使用了一个被认为是有漏洞的依赖项,并且这个依赖项也被其他依赖项所传递。

具体来说,这个警告是指:

在我们的pom文件中,org.yaml:snakeyaml:1.33这个库是存在漏洞的。

解决警告

1.升级依赖项

尝试升级依赖项版本,如果有更新的版本可用,则可能已经修复了该漏洞,

去中央仓库搜索此依赖可以看见最新的版本是2.0,并且它没有红字漏洞警告,说明2.0版本已经解决了这个漏洞。(当前日期为2023.03.31)

既然在新版本中,这个依赖已经解决了漏洞,那么我们可以升级依赖项版本

在Maven项目中,可以使用dependencyManagement标签来管理依赖项。

在这个标签中,可以指定一个特定版本,以便所有依赖项都将使用这个版本

例如,将以下内容添加到pom文件中

    <dependencyManagement>        <dependencies>            <dependency>                <groupId>org.yaml</groupId>                <artifactId>snakeyaml</artifactId>                <version>2.0</version>            </dependency>        </dependencies>    </dependencyManagement>

这将确保所有使用snakeyaml库的依赖项都使用指定的2.0版本,而不是使用其他版本。如果有可用的更高版本,可以选择将版本号更新为最新版本。

2.移除依赖项

如果这个库不是必须的,你可以考虑从你的项目中移除它。

例如尝试移除spring-boot-starter-web依赖中的snakeyaml依赖

        <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter</artifactId>            <exclusions>                <exclusion>                    <groupId>org.yaml</groupId>                    <artifactId>snakeyaml</artifactId>                </exclusion>            </exclusions>        </dependency>

3.忽略警告

如果你确定你的代码和应用程序环境能够安全地处理这个漏洞,你可以选择忽略警告,但这并不是一种推荐的做法。


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/61030.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1