如何修复我在项目中使用的其他库使用的易受攻击的依赖项？

Question

我使用的是Apache Maven 3.6.3 & Spring boot1.5，没有微服务架构。我正在处理一项任务，以修复目前存在于我们项目依赖树中的易受攻击的依赖关系。logback-classic就是其中一个依赖项。我可以更改顶层依赖项的版本(在顶层POM中)，但我无法将其版本从1.11.1升级到1.2.3，因为logback依赖项存在于spring-boot- starter -web starter中，用于子POM之一。

我可以排除这样的版本：

<dependencies>
   <dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-web</artifactId>
     <version>2.2.0.RELEASE</version>
     <exclusions>
        <exclusion>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
        </exclusion>
     </exclusions>
</dependency>

但是，我无法更新项目中某个JAR的spring-boot- starter -web starter依赖树中存在的相同依赖项的版本。我尝试使用< dependencyManagement >标记提供版本更新，如下所示

<project>
   ......
   <dependencyManagement>
        <dependencies>
             <dependency>
                  <groupId>ch.qos.logback</groupId>
                  <artifactId>logback-classic</artifactId>
                  <version>1.2.3</version>
                  <type>pom</type>
                  <scope>import</scope>
             </dependency>
        </dependencies>
   </dependencyManagement>

   <dependencies>
      <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-web</artifactId>
         <version>2.2.0.RELEASE</version>
         <exclusions>
            <exclusion>
               <groupId>ch.quos.logback</groupId>
               <artifactId>logback-classic</artifactId>
            </exclusion>
         </exclusions>
      </dependency>
      ........
   </dependencies>

   ......
<project>

注意--在< dependencyManagement >中，我最初也尝试了不使用< type >&< scope >标记，但无论如何我只能排除易受攻击的logback经典依赖项，但是我不能在那个特定的子pom中的spring-boot-starter-web中更新到1.2.3。

Answer 1

您提到的库(Logback-classic)报告了许多兼容性问题

正如您在其存储库的相关问题中所看到的Here

我建议你尝试不同的Spring版本(较新的版本)，并在Github问题中检查结果搜索版本和更新，你可能会找到一些东西