如何在传递依赖中排除传递依赖？

Question

I have a maven project "Project-1". This project uses some dependencies, let's consider jackson databind 2.9.8

Another maven project "Project-2" uses "Project-1" as a dependency.

"Project-3" uses "Project-2" as a dependency.

在"Project-3“中，我使用了jackson databind 2.10.0，并使用了依赖管理标签。此外，在"Project-1“的pom内的依赖标签"Project-2”下，我添加了jackson databind的exclusion标签。

在"Project-3“的依赖树中，只有一个版本的jackson数据库正在被解析，即2.10.0

但是，在流水线的安全扫描中，它仍然报告了jackson数据库2.9.8的一些安全问题

我不确定为什么这个版本会被解析，即使它没有在依赖关系树中被提到。

我现在正在尝试在"Project-1“中添加排除项。但是，有没有更好的办法把它排除在"Project-3“之外呢？

Answer 1

似乎依赖"jackson databind“不是由Maven拉取的，所以他们无法在Maven中排除它。

这可能是您运行的Maven插件的依赖项，您可以尝试通过运行带有调试标志-X的Maven来找出这一点。然后，您可能需要删除该插件。

您的“扫描器”不仅扫描项目的依赖关系，而且还扫描其他内容。也许这是扫描仪中的一个错误，因此排除的伪像也会被扫描。