pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告

这篇具有很好参考价值的文章主要介绍了pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

警告出现

构建springboot3项目时,pom文件的spring-boot-starter-web依赖部分整体高亮,

显示Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

警告原因

这个警告提示我们的Maven项目中使用了一个被认为是有漏洞的依赖项,并且这个依赖项也被其他依赖项所传递。

具体来说,这个警告是指:

在我们的pom文件中,org.yaml:snakeyaml:1.33这个库是存在漏洞的。

解决警告

1.升级依赖项

尝试升级依赖项版本,如果有更新的版本可用,则可能已经修复了该漏洞,

去中央仓库搜索此依赖可以看见最新的版本是2.0,并且它没有红字漏洞警告,说明2.0版本已经解决了这个漏洞。(当前日期为2023.03.31)

pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告

既然在新版本中,这个依赖已经解决了漏洞,那么我们可以升级依赖项版本

在Maven项目中,可以使用dependencyManagement标签来管理依赖项。

在这个标签中,可以指定一个特定版本,以便所有依赖项都将使用这个版本

例如,将以下内容添加到pom文件中

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.yaml</groupId>
                <artifactId>snakeyaml</artifactId>
                <version>2.0</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

这将确保所有使用snakeyaml库的依赖项都使用指定的2.0版本,而不是使用其他版本。如果有可用的更高版本,可以选择将版本号更新为最新版本。

2.移除依赖项

如果这个库不是必须的,你可以考虑从你的项目中移除它。

例如尝试移除spring-boot-starter-web依赖中的snakeyaml依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.yaml</groupId>
                    <artifactId>snakeyaml</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3.忽略警告

如果你确定你的代码和应用程序环境能够安全地处理这个漏洞,你可以选择忽略警告,但这并不是一种推荐的做法。文章来源地址https://www.toymoban.com/news/detail-422557.html

到了这里,关于pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • maven打包失败:the pom for XXX is missing, no dependency information available 问题解决

    问题描述:springcloud项目,idea打包pacake、compile时报错,THE POM for ... is missing,no dependency information available,此时清理缓存,和clean之后还是会报这个错。 查询报错信息是因为pom文件丢失才会报这个错,但是项目中pom文件是存在的,并非丢失。 由于是多项目管理,项目是有相互依

    2024年02月11日
    浏览(49)
  • 【Maven】Maven 中 pom.xml 文件

    Maven 是一个项目管理工具,可以对 Java 项目进行构建和管理依赖。 本文,我们认识下 pom.xml 文件。POM(Project Object Model, 项目对象模型) 是 Maven 工程的基本工作单位,也是 Maven 的核心。其包含项目的基本信息,用于描述项目如何构建、声明项目依赖等。 POM 是 Project Object Mod

    2024年02月15日
    浏览(37)
  • Maven--pom.xml文件详解

    1.pom简介 pom指的是project object model,又叫项目对象模型。Maven的pom文件是一个XML文件,用于描述项目的各种属性、依赖和构建信息,包括项目的名称、版本、许可证、作者、描述、依赖关系、构建过程、插件等。总的来说,POM文件是Maven工程的基本工作单元,它包含了项目的所

    2024年01月19日
    浏览(45)
  • Maven 的 pom.xml 样例

     pom.xml 模板样例: 仓库优化:

    2024年02月13日
    浏览(66)
  • maven的pom.xml文件详解

    2024年02月12日
    浏览(50)
  • maven之pom.xml配置文件详解

    pom代表项目对象模型,它是Maven中工作的基本组成单位。它是一个XML文件,在项目的根目录中。pom包含的对象是使用maven来构建的,pom.xml文件包含了项目的各种配置信息。 创建一个POM之前,应该要先决定项目组(groupId),项目名(artifactId)和版本(version),因为这些属性在项目仓

    2023年04月09日
    浏览(43)
  • maven的settings.xml和pom.xml配置文件详解

    maven的配置文件主要有 settings.xml 和pom.xml 两个文件。 其中在maven安装目录下的settings.xml,如:D:Program Filesapache-maven-3.6.3confsettings.xml 是全局配置文件 用户目录的.m2子目录下的settings.xml,如:C:Userschenxc.m2settings.xml 配置只是针对当前用户的配置文件 项目根路径下的pom.xml主

    2024年02月05日
    浏览(44)
  • Maven项目提示Ignored pom.xml问题

    1 环境 (1)IDEA开发工具:2022.2.1 (2)JDK:Java17(Spring6要求JDK最低版本是Java17) (3)Spring:6.1.2 (4)Maven 3.8.8 2 问题描述 新创建一个Maven模块,和之前删除的创建失败的模块同名,此时创建好的模块的pom.xml文件有删除线,提示Ignored pom.xml,pom文件显示 pom.xml 。 3 原因分析

    2024年02月04日
    浏览(46)
  • 【Java】Maven配置文件帮助文档(settings.xml 和 pom.xml)

    以下几个属性是 settings 属性的下一级属性: localRepository interactiveMode offline pluginGroups proxies servers mirrors profiles activeProfiles localRepository:本地仓库的路径,默认值为 ${user.home}/.m2/repository interactiveMode:表示Maven是否需要和用户交互以获得输入 offline:表示Maven是否需要在离线模式

    2024年02月13日
    浏览(51)
  • maven依赖 pom.xml中systemPath的用法

    今天在给一个小伙伴配置项目中有一个jar包依赖怎么就下载不下来,关键是我使用他的maven本地仓库打包还报错。首先这个依赖maven官网仓库是存在的,也是可以下载的,但是他本地就是下载不下 来。尝试了很多的方法,搞笑的是还给他重新安装了另一个版本的maven。但是本地

    2024年02月07日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包