0%

Provides transitive vulnerable dependency maven解决

发表于 2023-02-24 分类于 Maven 阅读次数： Valine：
本文字数： 469 阅读时长 ≈ 1 分钟

描述

新建了一个Spring Boot项目，采用的版本号是2.7.9结果pom包中有标黄：spring-boot-starter-thymeleaf作为一个强迫症，自然要解决它。
警告内容为：Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.30

解决方案

标黄内容如下：

看这CVE开头的可以确定是有漏洞了，问题在于是哪些包带来的漏洞。
再看报错内容可以发现是org.yaml:snakeyaml这个用于yaml序列与反序列化的包出了问题，既然1.30版本的snakeyaml有这么多CVE,那我们进maven仓库找找最新的版本。

呃，看来最新的1.33还是有一个漏洞啊，但总比前者的七个好，那就换成最新的吧。于是我们在<properties></properties>中增加如下内容：

1	<snakeyaml.version>1.33</snakeyaml.version>

~~看来似乎最后没有完美解决哈，不过思路是这么个思路。~~

-------------------本文结束感谢阅读-------------------

本文作者： CeaserBorgia
本文链接： https://timegoesby.top/Vulnerabilities-Info-of-Maven/
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！