【问题标题】:Blackduck scan showing FILE MODIFIED with older version of Jetty HttpBlackduck 扫描显示文件已被旧版本的 Jetty Http 修改
【发布时间】:2020-11-12 10:20:19
【问题描述】:

我们有一个模块,我们在 maven 中构建为可执行 jar 文件,使用 commad 行,使用版本为 2.1.0.RELEASE 的 spring-boot-maven-plugin 通过将目标作为重新打包传递, classifire 作为 one-jar 并且还配置了 mainClass。

在我的 pom.xml 文件中代码如下所示:

<plugin>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-maven-plugin</artifactId>
    <version>2.1.0.RELEASE</version>
    <executions>
        <execution>
            <goals>
                <goal>repackage</goal>
            </goals>
            <configuration>
                <classifier>spring-boot</classifier>
                <mainClass>
                  ------------
                </mainClass>
            </configuration>
        </execution>
    </executions>
</plugin>

---

<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-http</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-security</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
---

并且我们的模块包含配置为 9.4.33.v20201020 版本的 org.eclipse.jetty 相关依赖项。当我们为这个模块 jar 文件配置 Blackduck 扫描时,扫描会选择一些旧版本的 jetty。 例如对于 jetty-http 和 jetty-security 依赖项,它选择 9.4.31.v20200723 也显示为 FILE MODIFIED 以及 9.4.33.v20201020。

由于我已经交叉验证了版本 9.4.31.v20200723 的整个 maven 存储库,因此我没有找到该版本的任何码头依赖项。仍然 Blackduck 扫描显示旧码头版本为 FILE MODIFIED。

谁能帮我理解 Blackduck 中的 FILE MODIFIED 匹配类型是什么以及如何解决这个问题。

【问题讨论】:

    标签: maven security jetty


    【解决方案1】:

    来自https://testing.blackduck.synopsys.com/doc/internal_project_versions/understanding_project_version_bom_information.htm

    文件已修改。扫描发现与 Black Duck KB 中的一个组件存在模糊匹配,其中一些存档文件已被修改。有时这是与组件的先前或后续版本的匹配,在匹配时可能已从 Black Duck KB 中丢失。

    您的 blackduck 数据库似乎很旧,并且没有引用这些较新的 Jetty 版本。

    【讨论】:

    • 如何解决这个问题,我们是否需要在 blackduck 端进行任何更改,或者我们可以从代码端解决它吗?因为我尝试了许多方法,例如未映射的旧扫描,删除了所有旧扫描,甚至创建了一个新分支并运行扫描,尝试使用版本范围并在 pox.xml 中提供范围,并通过引用尝试了所有可能的插件排除组合一些技术博客。
    • 这只能由BlackDuck自己解决。他们需要更新他们的数据库。
    猜你喜欢
    • 2022-07-01
    • 2022-07-19
    • 1970-01-01
    • 2014-04-25
    • 1970-01-01
    • 2019-01-23
    • 1970-01-01
    • 2016-08-15
    • 1970-01-01
    相关资源
    最近更新 更多