【发布时间】:2020-11-12 10:20:19
【问题描述】:
我们有一个模块,我们在 maven 中构建为可执行 jar 文件,使用 commad 行,使用版本为 2.1.0.RELEASE 的 spring-boot-maven-plugin 通过将目标作为重新打包传递, classifire 作为 one-jar 并且还配置了 mainClass。
在我的 pom.xml 文件中代码如下所示:
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>2.1.0.RELEASE</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
<configuration>
<classifier>spring-boot</classifier>
<mainClass>
------------
</mainClass>
</configuration>
</execution>
</executions>
</plugin>
---
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-http</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-security</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
---
并且我们的模块包含配置为 9.4.33.v20201020 版本的 org.eclipse.jetty 相关依赖项。当我们为这个模块 jar 文件配置 Blackduck 扫描时,扫描会选择一些旧版本的 jetty。 例如对于 jetty-http 和 jetty-security 依赖项,它选择 9.4.31.v20200723 也显示为 FILE MODIFIED 以及 9.4.33.v20201020。
由于我已经交叉验证了版本 9.4.31.v20200723 的整个 maven 存储库,因此我没有找到该版本的任何码头依赖项。仍然 Blackduck 扫描显示旧码头版本为 FILE MODIFIED。
谁能帮我理解 Blackduck 中的 FILE MODIFIED 匹配类型是什么以及如何解决这个问题。
【问题讨论】: