描述
新建了一个Spring Boot项目,采用的版本号是2.7.9
结果pom包中有标黄:spring-boot-starter-thymeleaf
作为一个强迫症,自然要解决它。
警告内容为:Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.30
解决方案
标黄内容如下:
看这CVE开头的可以确定是有漏洞了,问题在于是哪些包带来的漏洞。
再看报错内容可以发现是org.yaml:snakeyaml
这个用于yaml序列与反序列化的包出了问题,既然1.30
版本的snakeyaml
有这么多CVE,那我们进maven仓库找找最新的版本。
呃,看来最新的1.33
还是有一个漏洞啊,但总比前者的七个好,那就换成最新的吧。于是我们在<properties></properties>
中增加如下内容:
1 | <snakeyaml.version>1.33</snakeyaml.version> |
看来似乎最后没有完美解决哈,不过思路是这么个思路。