1. ホーム
  2. 質問と答え
  3. spring-boot-starterの下に自動的に含まれるライブラリのバージョンを無効にする方法

spring-boot-starterの下に自動的に含まれるライブラリのバージョンを無効にする方法

2017-10-15 3 views
0

私はPOMにspring-boot-starterを持っており、バージョンはCamdenの依存関係管理システムによって自動的に解決されます。spring-boot-starterの下に自動的に含まれるライブラリのバージョンを無効にする方法

<dependencyManagement> 
     <dependencies> 
      <dependency> 
       <groupId>org.springframework.cloud</groupId> 
       <artifactId>spring-cloud-dependencies</artifactId> 
       <version>Camden.SR6</version> 
       <type>pom</type> 
       <scope>import</scope> 
      </dependency> 
     </dependencies> 
    </dependencyManagement> 

    <dependencies>  
    <!-- Spring Boot --> 
    <dependency> 
     <groupId>org.springframework.boot</groupId> 
     <artifactId>spring-boot-starter</artifactId> 
    </dependency> 
</dependencies>

これは、バージョン1.4.3.RELEASEのspring-boot-starterを提供します。

スプリングブートスタータがMavenの依存関係を自動的に含むジャーの一つはlogback-古典である:1.1.18

ch.qos.logback_logbackコアバージョン1.1.8は、私が切り替えたいので、その脆弱性を有しています以上、この脆弱性は今、春・ブート・スターターは、自動的に私はそのようにそれを解決したものから1.2にlogbackのバージョンを上書きすることが方法です

https://nvd.nist.gov/vuln/detail/CVE-2017-5929

下のリンクで説明されているバージョン1.2 をlogbackしますこの脆弱性に晒されていませんか?

出典

2017-10-15 Hary

+0

を見てみましょうhttps://stackoverflow.com/q/9119055/1032167 – varren

+0

それは依存します。 'spring-boot-starter-parent'をプロジェクトの'親 'として使うのであれば、' properties'セクションに必要なバージョンを定義するのと同じくらい簡単です。それ以外のものを 'dependencyManagement'セクションに追加してくださいバージョンセット。 –

答えて

0

のようにポンポンのプロパティタグを追加し、あなたはそれから1.2.0の依存関係を追加する最初の1.1.8の依存性を排除することによって、これを達成することができます。
たとえば :

<dependency> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter</artifactId> 
    <exclusions> 
     <exclusion> 
      <groupId>ch.qos.logback</groupId> 
      <artifactId>logback-classic</artifactId> 
     </exclusion> 
    </exclusions> 
</dependency> 

<dependency> 
    <groupId>ch.qos.logback</groupId> 
    <artifactId>logback-classic</artifactId> 
    <version>1.2.0</version> 
</dependency>

出典

2017-10-16 09:06:34 LHCHIN

+0

これは機能しました。ありがとう – Hary

0

があなたのポンポンファイルに基づいて、この

<properties> 
     <maven.compiler.source>1.8</maven.compiler.source> 
     <maven.compiler.target>1.8</maven.compiler.target> 
     <start-class>org.roshan.Application</start-class> 
     <hibernate.version>5.2.10.Final</hibernate.version> 
     <liquibase.version>3.5.3</liquibase.version> 
     <liquibase-hibernate5.version>3.6.0</liquibase-hibernate5.version> 
     <httpcore.version>4.4.5</httpcore.version> 
     <httpclient.version>4.5.3</httpclient.version> 
     <docker-maven-plugin.version>0.4.13</docker-maven-plugin.version> 
    </properties>

出典

2017-10-15 20:02:51

+0

私はCamdenを依存関係管理に使用しています。私はこのような静的なプロパティを使用していない – Hary

+0

あなたはデフォルトの休止状態の多分多分5.2.3ですが、私は5.2.10に変更する静的なプロパティを追加すると、親の依存バージョンを上書きすることができます。それをテストして、私は私のプロジェクトでこれを使って正しく動作しました –

+0

問題は、私が上書きしようとしているライブラリのバージョンが、spring-boot-starterの推移的な依存関係の1つです。だから私はそのような静的プロパティがカムデンによって解決されたそのような推移的な依存性のバージョンをオーバーライドするかどうかわからない – Hary

関連する問題

 関連する問題