为什么 Sonatype IQ 扫描会在 'mvn dependency:tree' 根本不显示 Guava 时报告 Guava 漏洞?
Why would Sonatype IQ scan report Guava vulnerability when 'mvn dependency:tree' does not show Guava at all?
当 mvn dependency:tree 根本不显示 Guava 时,为什么 Sonatype IQ 扫描报告会显示(在 IntelliJ-IDEA 中)Guava 漏洞?
这是我的 Sonatype 扫描结果,所有版本的 Guava 都存在 7 级严重漏洞。
那么,如果 mvn dependency:tree -Dverbose
显示完全没有提及 Guava,那么 Sonatype 扫描如何抱怨它?
此外,我尝试使用 JDK jdeps
工具,它也没有显示 Guava 依赖项。 jdeps eb-mu-cbos-eeoi-api-1.0.14-SNAPSHOT.jar
.
有没有一种方法或其他工具可以让我更深入地挖掘以发现 Guava 依赖项引用的来源?
而不是 --verbose 使用 -X 显示 Guava 但仍然不显示库来自的父模块。相反,它只是在类路径的根目录下显示 Guava。
因此,我的问题的解决方案是使用 Intellij-IDEA 项目设置,在“库”部分,当我尝试删除 Guava 时,它会告诉我 module/library 包含了它。
感谢您对我的原始问题提出的所有意见。它让我找到了答案。
当 mvn dependency:tree 根本不显示 Guava 时,为什么 Sonatype IQ 扫描报告会显示(在 IntelliJ-IDEA 中)Guava 漏洞?
这是我的 Sonatype 扫描结果,所有版本的 Guava 都存在 7 级严重漏洞。
那么,如果 mvn dependency:tree -Dverbose
显示完全没有提及 Guava,那么 Sonatype 扫描如何抱怨它?
此外,我尝试使用 JDK jdeps
工具,它也没有显示 Guava 依赖项。 jdeps eb-mu-cbos-eeoi-api-1.0.14-SNAPSHOT.jar
.
有没有一种方法或其他工具可以让我更深入地挖掘以发现 Guava 依赖项引用的来源?
而不是 --verbose 使用 -X 显示 Guava 但仍然不显示库来自的父模块。相反,它只是在类路径的根目录下显示 Guava。
因此,我的问题的解决方案是使用 Intellij-IDEA 项目设置,在“库”部分,当我尝试删除 Guava 时,它会告诉我 module/library 包含了它。
感谢您对我的原始问题提出的所有意见。它让我找到了答案。