【发布时间】:2021-07-29 02:45:42
【问题描述】:
我正在执行一项任务,以消除 JFrog 插件识别的问题,该插件按风险类别(高、中等)识别 POM 中的条目。
在我的 POM 中,我得到了这些条目的红色波浪线,我正在尝试找出这些条目的原因以及如何解决它。
更新 为 POM 添加文本。之前添加图像的原因是为了显示红色波浪线。它们仅针对图像中的 3 个依赖项显示
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.avro</groupId>
<artifactId>avro</artifactId>
<version>1.9.1</version>
</dependency>
<dependency>
<groupId>org.jsonschema2pojo</groupId>
<artifactId>jsonschema2pojo-maven-plugin</artifactId>
<version>1.1.1</version>
</dependency>
此外,当我查看 JFrog 输出时,我什至想清理非关键问题,例如下面屏幕截图中以黄色显示的问题。
我还没有找到一种方法来确定在这些情况下修复是什么,然后应用修复。这是我正在开发的一个全新的应用程序,但是使用现有应用程序中的 POM,因为它是一个大 pom,我需要实现大多数类似的功能,但是对于一个新的 pom,希望从干净的开始尽可能
感谢您的任何建议。
更新 2
谢谢@yahavi
在下图中,显示的版本是另一个 jar 的下行版本。此外,对于 spring-boot-starter-web,在 JFrog 中,它没有显示任何关键问题,但在 pom 中它有红色的波浪线。
这就是我想知道的,如何修复下行路径版本依赖项。
谢谢
【问题讨论】:
-
首先不要在这里张贴图片更好张贴文字...其次为什么您使用插件作为没有意义的依赖项(-maven-plugin)...?
-
谢谢。我将添加文本。这个特定的项目应该使用 jsonschema2pojo 插件从 json 生成 java 类,这就是现有项目使用 maven 插件的原因(我认为)。我刚刚复制了 POM,现在正在尝试清理。
-
@khmarbaise - 关于如何清理 POM 以使其符合安全扫描的任何建议?谢谢
-
第一步从依赖中移除插件。
-
谢谢@khmarbaise。是的,在您之前建议之后,我确实已经删除了它。 Next 如何找出 spring-boot-starter-web 和 org.apache.avro 下的 squigglys 有什么问题?然后如何修复我的 POM,使依赖 POM 中的版本不会显示为关键或高
标签: maven pom.xml parent-pom jfrog jfrog-xray