由于传递依赖性,如何解决 pom 中的问题
How to resolve issues in pom due to transitive dependencies
我正在执行一项任务,以删除由 JFrog 插件识别的问题,该插件按风险类别(高、中等)识别 POM 中的条目。
在我的 POM 中,我收到了这些条目的红色波浪线,我正试图找出这些问题的原因以及解决方法。
更新
为 POM 添加文本。较早添加图像的原因是为了显示红色波浪形。它们仅针对图像中的 3 个依赖项显示
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.avro</groupId>
<artifactId>avro</artifactId>
<version>1.9.1</version>
</dependency>
<dependency>
<groupId>org.jsonschema2pojo</groupId>
<artifactId>jsonschema2pojo-maven-plugin</artifactId>
<version>1.1.1</version>
</dependency>
此外,当我查看 JFrog 输出时,我什至想清除非关键问题,例如下面屏幕截图中以黄色显示的问题。
我还没有找到一种方法来确定这些情况下的修复是什么,然后应用修复。这是我正在开发的一个全新的应用程序,但是使用现有应用程序中的 POM,因为它是一个大 pom,我需要实现大部分类似的功能,但是对于一个新的 pom,我想从干净开始尽可能
感谢您的任何建议。
更新 2
感谢@yahavi
在下图中,显示的版本是另一个 jar 的下行版本。此外,对于 spring-boot-starter-web,在 JFrog 中,它没有显示任何严重问题,但在 pom 中它有红色波浪线。
这就是我想知道的,我该如何修复下行路径版本依赖关系。
谢谢
要查看有关易受攻击组件的更多详细信息,请单击黄色灯泡,然后单击“在依赖树中显示”。站在依赖项上或单击 alt
+enter
.
时,应该会出现黄色灯泡
在“组件问题详细信息”下,您可以查看与所选组件及其传递组件相关的问题。 bold 中的问题与您的组件直接相关。在以下示例中,将 org.jenkins-ci.plugins:jira 升级到 3.0.11 将解决关键级别问题:
要过滤掉非关键问题,请删除 严重性 过滤器中除“严重”之外的所有严重性:
阅读更多关于在 JFrog IDEA 插件中扫描本地项目的信息 here。
我正在执行一项任务,以删除由 JFrog 插件识别的问题,该插件按风险类别(高、中等)识别 POM 中的条目。
在我的 POM 中,我收到了这些条目的红色波浪线,我正试图找出这些问题的原因以及解决方法。
更新 为 POM 添加文本。较早添加图像的原因是为了显示红色波浪形。它们仅针对图像中的 3 个依赖项显示
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.avro</groupId>
<artifactId>avro</artifactId>
<version>1.9.1</version>
</dependency>
<dependency>
<groupId>org.jsonschema2pojo</groupId>
<artifactId>jsonschema2pojo-maven-plugin</artifactId>
<version>1.1.1</version>
</dependency>
此外,当我查看 JFrog 输出时,我什至想清除非关键问题,例如下面屏幕截图中以黄色显示的问题。
我还没有找到一种方法来确定这些情况下的修复是什么,然后应用修复。这是我正在开发的一个全新的应用程序,但是使用现有应用程序中的 POM,因为它是一个大 pom,我需要实现大部分类似的功能,但是对于一个新的 pom,我想从干净开始尽可能
感谢您的任何建议。
更新 2
感谢@yahavi
在下图中,显示的版本是另一个 jar 的下行版本。此外,对于 spring-boot-starter-web,在 JFrog 中,它没有显示任何严重问题,但在 pom 中它有红色波浪线。
这就是我想知道的,我该如何修复下行路径版本依赖关系。
谢谢
要查看有关易受攻击组件的更多详细信息,请单击黄色灯泡,然后单击“在依赖树中显示”。站在依赖项上或单击 alt
+enter
.
在“组件问题详细信息”下,您可以查看与所选组件及其传递组件相关的问题。 bold 中的问题与您的组件直接相关。在以下示例中,将 org.jenkins-ci.plugins:jira 升级到 3.0.11 将解决关键级别问题:
要过滤掉非关键问题,请删除 严重性 过滤器中除“严重”之外的所有严重性:
阅读更多关于在 JFrog IDEA 插件中扫描本地项目的信息 here。