私はPOMにspring-boot-starterを持っており、バージョンはCamdenの依存関係管理システムによって自動的に解決されます。spring-boot-starterの下に自動的に含まれるライブラリのバージョンを無効にする方法
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Camden.SR6</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<dependencies>
<!-- Spring Boot -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
</dependencies>
これは、バージョン1.4.3.RELEASEのspring-boot-starterを提供します。
スプリングブートスタータがMavenの依存関係を自動的に含むジャーの一つはlogback-古典である:1.1.18
ch.qos.logback_logbackコアバージョン1.1.8は、私が切り替えたいので、その脆弱性を有しています以上、この脆弱性は今、春・ブート・スターターは、自動的に私はそのようにそれを解決したものから1.2にlogbackのバージョンを上書きすることが方法です
https://nvd.nist.gov/vuln/detail/CVE-2017-5929
下のリンクで説明されているバージョン1.2 をlogbackしますこの脆弱性に晒されていませんか?
を見てみましょうhttps://stackoverflow.com/q/9119055/1032167 – varren
それは依存します。 'spring-boot-starter-parent'をプロジェクトの'親 'として使うのであれば、' properties'セクションに必要なバージョンを定義するのと同じくらい簡単です。それ以外のものを 'dependencyManagement'セクションに追加してくださいバージョンセット。 –