1. ホーム
  2. 質問と答え
  3. 推移依存のバージョンを上書きする方法ThymeleafのGroovyを上書きする方法1.5.8.Gradleを使用したSpringブートのリリース

推移依存のバージョンを上書きする方法ThymeleafのGroovyを上書きする方法1.5.8.Gradleを使用したSpringブートのリリース

2017-11-17 11 views
0

私はGradleの世界でちょっと新しくなりました。 推移依存のバージョンを上書きする方法ThymeleafのGroovyを上書きする方法1.5.8.Gradleを使用したSpringブートのリリース

compile(group: 'org.springframework.boot', name: 'spring-boot-starter-thymeleaf', version: '1.5.8.RELEASE')

はGroovyの2.4.7のための推移的依存性を利用しているが、そのバージョン以降(一部のセキュリティ上の脆弱性があります。私たちが持っているセキュリティ監査の一環として、我々はあなたのGradleプロジェクトの一つで、次の依存関係を言われました https://nvd.nist.gov/vuln/detail/CVE-2016-6497)、Groovyのバージョンを新しいものに変更する必要があります。

これは、そのセクションの依存関係ツリーです:

org.springframework.boot.spring-boot-starter-thymeleaf-1.4.1.RELEASE (/opt/whitehat/satellite/applications/9400/src/10280/pom.xml [line 36, column 15]) 
    - nz.net.ultraq.thymeleaf.thymeleaf-layout-dialect-1.4.0 (/opt/whitehat/satellite/applications/9400/src/10280/pom.xml [line 36, column 15]) 
     - org.codehaus.groovy.groovy-2.4.7

2.4.7から上位バージョンへのGroovyバージョンを上書きする方法は?

私は次のことを試してみましたが、それは働いていない:

compile(group: 'org.springframework.boot', name: 'spring-boot-starter-thymeleaf', version: '1.5.8.RELEASE') { 
    exclude(module: 'groovy') 
} 

compile group: 'org.codehaus.groovy', name: 'groovy-all', version: '2.4.12'

出典

2017-11-17 Gabriel

答えて

0

それは、セキュリティ保護のためであるならば、私は誰もが誤ってこのような任意のコンフィギュレーションにこのバージョンを追加することを確認するために解決戦略を使用したいです:

configurations.all { 
    resolutionStrategy { 
     dependencySubstitution { 
      substitute module('org.codehaus.groovy:groovy:2.4.7') with module('org.codehaus.groovy:groovy:2.4.12') 
     } 
    } 
}

出典

2017-11-17 16:19:32 Vampire

+0

ありがとうございました。それは完璧に働いた。 Thymeleafを使用しているときに、監査人がGroovyバージョンを更新するためにスキャンしたすべてのプロジェクトにその解決策を含める予定です。 – Gabriel

+0

https://stackoverflow.com/help/someone-answersを読んで従ってください;-) – Vampire

関連する問題

 関連する問題