我正在尝试修复 Snyk 工具在我的程序中发现的一些漏洞,但其中一些漏洞来自我正在使用的库(如 Apache 的 Pulsar)。 例如,Pulsar 正在使用 2.8.6 版本的 gson,根据 Snyk 的说法,它是易受攻击的,下一个安全版本是 2.8.9。 是否可以强制我使用的所有库使用 gson 2.8.9 版(通过 gradle)?或者更确切地说不是因为这是一个非常愚蠢的想法,容易出现意外行为?
谢谢
【问题讨论】:
标签: gradle dependencies snyk
这是一件合情合理的事情。官方支持升级库的新版本 pulsar 会更好,但您通常可以安全地升级传递依赖项。特别是,如果库作者遵循语义版本控制,单点版本(即 2.8.6 -> 2.8.9)可能是安全的。
Gradle 提供了几种方法来做到这一点,现在(从 gradle 7.3 开始)似乎最典型的方法是使用约束。
例如,如果您的依赖项如下所示:
dependencies {
implementation 'org.apache.pulsar:pulsar-client-all:2.9.1'
}
运行依赖洞察将显示我们正在解析 gson 2.8.6
`./gradlew dependencyInsight --dependency gson`
...
com.google.code.gson:gson:2.8.6
\--- org.apache.pulsar:pulsar-package-core:2.9.1
\--- org.apache.pulsar:pulsar-client-all:2.9.1
\--- compileClasspath
我们可以添加一个约束,强制它使用这样的新版本。
dependencies {
implementation 'org.apache.pulsar:pulsar-client-all:2.9.1'
constraints {
implementation('com.google.code.gson:gson:2.8.9') {
because 'previous versions have a security vulnerability'
}
}
}
现在我们得到以下结果
com.google.code.gson:gson:2.8.9
...
Selection reasons:
- By constraint : previous versions have a security vulnerability
- By conflict resolution : between versions 2.8.9 and 2.8.6
com.google.code.gson:gson:2.8.9
\--- compileClasspath
com.google.code.gson:gson:2.8.6 -> 2.8.9
\--- org.apache.pulsar:pulsar-package-core:2.9.1
\--- org.apache.pulsar:pulsar-client-all:2.9.1
\--- compileClasspath
现在可以按照您的意愿解析 2.8.9。
Gradle 有相当广泛的 documentation 关于依赖管理,这是查找有关此类内容的更多信息的好方法。
【讨论】:
我不确定这是一个好主意,我认为更新依赖于稳定版 gson 的 Apache 的 Pulsar 版本是一个更好的主意。
但仍不是 100% 确定,请等待其他澄清。
你想要的仍然可以像下面这样完成
configurations.all {
exclude group: 'com.google.code.gson:gson:2.8.6'
}
这将排除项目中所有版本为 2.8.6 的 gson。
那么你可以根据需要添加以下版本
implementation 'com.google.code.gson:gson:2.8.9'
【讨论】: