【发布时间】:2021-04-27 06:33:32
【问题描述】:
我正在使用没有微服务架构的 Apache Maven 3.6.3 和 Spring boot 1.5。我正在执行一项任务来修复我们项目的依赖关系树中当前存在的易受攻击的依赖关系。 logback-classic 是这些依赖项之一。我可以更改顶级依赖项的版本(在顶级 pom 中),但我无法将其版本从 1.11.1 升级到 1.2.3,因为 spring-boot-starter-web 启动器中存在的 logback-dependency 用于一个子 POM。
我可以排除这样的版本——
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<version>2.2.0.RELEASE</version>
<exclusions>
<exclusion>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
</exclusion>
</exclusions>
</dependency>
但是,我无法更新项目中 JAR 之一的 spring-boot-starter-web 启动器的依赖树中存在的相同依赖项的版本。我尝试使用
<project>
......
<dependencyManagement>
<dependencies>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>1.2.3</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<version>2.2.0.RELEASE</version>
<exclusions>
<exclusion>
<groupId>ch.quos.logback</groupId>
<artifactId>logback-classic</artifactId>
</exclusion>
</exclusions>
</dependency>
........
</dependencies>
......
<project>
注意-在
【问题讨论】:
-
请提供 Spring Boot 版本
-
@Farhad: Spring Boot 1.5.22.RELEASE with jackson BOM 2.9.10.20191020 & Commons Beanutils 1.9.4
-
最重要的是使用最新版本的 Spring Boot... 2.4.2(Spring Boot 1.X 是 EoL)...
标签: java spring spring-boot maven microservices