为什么 Sonatype IQ 扫描会在 'mvn dependency:tree' 根本不显示 Guava 时报告 Guava 漏洞?

Why would Sonatype IQ scan report Guava vulnerability when 'mvn dependency:tree' does not show Guava at all?

当 mvn dependency:tree 根本不显示 Guava 时,为什么 Sonatype IQ 扫描报告会显示(在 IntelliJ-IDEA 中)Guava 漏洞?

这是我的 Sonatype 扫描结果,所有版本的 Guava 都存在 7 级严重漏洞。

那么,如果 mvn dependency:tree -Dverbose 显示完全没有提及 Guava,那么 Sonatype 扫描如何抱怨它?

此外,我尝试使用 JDK jdeps 工具,它也没有显示 Guava 依赖项。 jdeps eb-mu-cbos-eeoi-api-1.0.14-SNAPSHOT.jar.

有没有一种方法或其他工具可以让我更深入地挖掘以发现 Guava 依赖项引用的来源?

而不是 --verbose 使用 -X 显示 Guava 但仍然不显示库来自的父模块。相反,它只是在类路径的根目录下显示 Guava。

因此,我的问题的解决方案是使用 Intellij-IDEA 项目设置,在“库”部分,当我尝试删除 Guava 时,它会告诉我 module/library 包含了它。

感谢您对我的原始问题提出的所有意见。它让我找到了答案。