使用dependencyManagement全局控制依赖

最新推荐文章于 2024-01-31 07:07:27 发布
最新推荐文章于 2024-01-31 07:07:27 发布
阅读量1k 收藏
点赞数
分类专栏: maven spring boot 文章标签: spring boot maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrx1995/article/details/122340830
版权

一、背景

为了解决项目中log4j漏洞引发的安全隐患,想到的应对方案有两个:

①不再使用log4j,去除log4j依赖

②升级log4j版本至漏洞修复版本(2.15+)

二、方案缺陷

①项目太多了,一个一个地去exclude非常的繁琐,而且如果增加新项目还要时刻惦记这个事情,维护非常麻烦;

②另外可能会存在引入的某依赖当中会隐含log4j的依赖,悄悄地引入。

三、优化解决方案

①全局去除依赖

在父模块的pom文件里增加依赖管理

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-logging</artifactId>
                <exclusions>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-api</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>
        </dependencies>
    </dependencyManagement>

这样可以全局去除spring-boot-starter里自带的log4j依赖

全局去除前:

全局去除后:

 

 尽管去除了spring-boo-starter当中的loh4j依赖,但是无法去除其他依赖当中隐含的log4j依赖

②控制log4j版本

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.17.1</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

效果:

 即使不是直接引入的log4j-api依赖,也可以通过这种方式控制该依赖版本。

四、总结

方案①适用于已知那些包含log4j的依赖,而这种依赖又不太多,同时也不打算使用log4j的情形。

方案②适用接继续使用log4j的情形,推荐使用该方案,不会存在方案①那样的缺陷。另外,保留了log4j的可用性,如果其他日志解决方案出现了类似log4j这样的巨大漏洞,还可以使用log4j。

Eddie.J
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MavenMaven依赖传递导致的依赖冲突以及解决方法(exclusions标签和dependencyManagement标签)
Badme
06-11 1252
MavenMaven依赖传递导致的依赖冲突以及解决方法(exclusions标签和dependencyManagement标签)
maven依赖冲突的解决
我3的博客
06-05 140
依赖范围 compile:默认范围,编译范围,编译和打包都会依赖 provided:提供范围,编译时依赖,但不会打包进去,如servlet-api.ja
vue全局使用axios的方法实例详解
10-17
主要介绍了vue全局使用axios的方法实例详解,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
FPGA全局时钟资源相关原语及使用
01-19
FPGA全局时钟资源一般使用全铜层工艺实现,并设计了专用时钟缓冲与驱动结构,从而使全局时钟到达芯片内部的所有可配置单元(CLB)、I/O单元(IOB)和选择性块RAM(Block Select RAM)的时延和抖动都为。为了适应复杂设计的需要,Xilinx的FPGA中集成的专用时钟资源与数字延迟锁相环(DLL)的数目不断增加,的Virtex II器件多可以提供16个全局时钟输入端口和8个数字时钟管理模块(DCM)。   与全局时钟资源相关的原语常用的与全局时钟资源相关的Xilinx器件原语包括:IBUFG、IBUFGDS、BUFG、BUFGP、BUFGCE、BUFGMUX、BUFGDLL和D
使用全局和线程钩子注入DLL.rar
08-04
使用全局和线程钩子注入DLL,含完整代码。 使用全局和线程钩子注入DLL,含完整代码。 使用全局和线程钩子注入DLL,含完整代码。
认识并使用PHP超级全局变量
12-18
认识并使用PHP超级全局变量 超级全局变量也叫做预定义变量,是PHP系统中自带的变量,它可让你的程序设计更加的方便快捷。它的类型包括: $GLOBALS 包含一个引用指向每个当前脚本的全局范围内有效的变量。该数组的键名为全局变量的名称。从 PHP 3 开始存在 $GLOBALS 数组。 $_SERVER 变量由 web 服务器设定或者直接与当前脚本的执行环境相关联。类似于旧数组 $_GET 经由 URL 请求提交至脚本的变量。 $_POST 经由 HTTP POST 方法提交至脚本的变量。 $_COOKIE 经由 HTTP Cookies 方法提交至脚本的变量。 $_FILES 经由 HTTP
mavendependencyManagement详解
jiaojie1112的博客
03-23 5061
背景 最近接到一个jar包依赖统一管理的任务,提供一个类似于spring-framework-bom的pom管理项目(后续我称这个为pilot项目),在接到这个任务之前,对maven的熟悉程度只能说是会简单的使用,这次才发现,其实在使用过程中也是比较浑浑噩噩的,很多东西没有深入去了解和思考,导致的影响可能对于一个项目来说,编译和运行阶段不会出什么错(就算出错了,也能很快的排查掉),但是如果要对项目有严格要求和追求的话,可能就需要更细致学习。 PS:可能我遇到的问题比较小儿科我自己不懂...
maven依赖、继承、聚合、dependencyManagement、parent标签、modules标签的作用
weixin_44061521的博客
11-09 2692
简介 Maven是Apache软件基金会组织维护的一款自动化构建工具,专注服务于Java平台的项目构建和依赖管理。Maven这个单词的本意是:专家,内行。读音是['meɪv(ə)n]或['mevn]。 依赖 依赖范围 maven依赖常见的范围有 compile、provided、test 三种。 compile范围依赖: 对主程序是否有效:有效 对测试程序是否有效:有效 是否参与打包:参与 是否参与部署:参与 典型例子:spring-core provided范围依赖: 对主程序是否有效:有效 对测
maven版本过低,打包时警告:“org.quartz-scheduler:quartz:jar with value ‘*‘ does not match a valid id pattern.“
weixin_32196893的博客
02-07 1494
dependencyManagement.dependencies.dependency.exclusions.exclusion.artifactId’ for org.quartz-scheduler:quartz:jar with value ‘’ does not match a valid id pattern. @ org.springframework.boot:spring-boot-dependencies:2.2.5.RELEASE, /home/letcode/.m2/reposit
maven坐标Dependencies和Exclusions详解
热门推荐
eff666的博客
07-22 8万+
1、概念介绍 Dependencies:是可选依赖(Optional Dependencies) Exclusions:是依赖排除(Dependency Exclusions) 2、Dependencies (1)当一个项目A依赖另一个项目B时,项目A可能很少一部分功能用到了项目B,此时就可以在A中配置对B的可选依赖。举例来说,一个类似hibernate的项目,它支持对mysql、oracl
通用定时器全局控制寄存器
11-12
全局控制寄存器GPTCONA/B确定通用定时器实现具体的定时器任务需要采取的操作方式,并指明通用定时器的计数方向。全局通用定时器控制寄存器B(GTPCONB)同GTPCONA功胄乞相同,只是控制的定时器不同。GTPCONA控制...
Maven简介(六)——Dependency
虚怀若谷
11-12 1354
Dependency介绍7.1     依赖的传递性当项目A依赖于B,而B又依赖于C的时候,自然的A会依赖于C,这样Maven在建立项目A的时候,会自动加载对C的依赖依赖传递对版本的选择假设A依赖于B和C,然后B依赖于D,D又依赖于E1.0,C直接依赖于E2.0,那么这个时候A依赖的是E1.0还是E2.0,还是这两个都依赖呢?两个都依赖是肯定不行的,因为它们可能会有冲突的地方。这个时候就涉及到M
maven依赖中名词解释及使用方式
凝眸伏笔的博客
09-11 1087
写在前面:pom.xml是maven依赖配置选项的地方。 1、概念介绍 一、Dependencies:是可选依赖(Optional Dependencies) 二、Exclusions:是依赖排除(Dependency Exclusions) 三、dependencyManagement :统一多模块的依赖版本 每个依赖节点<dependency>都由三个子节点组成: ...
一文搞懂maven父子工程中的依赖引用
峰晨的博客
07-25 1万+
简述 项目越来越趋向模块化开发,使用maven构建工程,必然涉及到父子pom的关联,父pom文件的父级又会继承springboot项目,就这样在开发中踩坑不少,简单记录一下。 看问题之前先了解maven中的两个标签<dependencyManagement>和<dependencies>,明白的直接跳过。 maven标签 1、<dependencyManagement> 这里其实是起到管理依赖jar版本号的作用,一般只会在项目的最顶层的pom.xml中使用到,所有子mod
pom中的parent dependencymanagementexclusion标签解释
最新发布
qq_36594985的博客
01-31 374
maven中pom使用方法
dependencyManagement和dependencies的区别
zhijingzhi的博客
06-03 7254
参考:http://zhaoshijie.iteye.com/blog/2094478 pom.xml中build标签_cpf2016的博客-CSDN博客还有一篇转载文章也说得很详细,见:http://blog.csdn.net/jiangyu1013/article/details/52424672 modelVersion:声明项目描述符遵循哪一个POM模型版本。模型本身的版本很少改变,虽然如此,但它仍然是必不可少的,这是为了当Maven引入了新的特性或者其他模型变更的时候,确保稳定性。 parent
dependencyManagement与dependencies区别
万事俱备,就差一个程序员了
08-26 159
一、dependencyManagement应用场景 为了项目的正确运行,必须让所有的子模块使用依赖项的统一版本,必须确保应用的各个项目的依赖项和版本一致,才能保证测试的和发布的是相同的结果。在我们项目顶层的pom文件中,我们会看到dependencyManagement元素。通过它元素来管理jar包的版本,让子项目中引用一个依赖而不用显示的列出版本号。Maven会沿着父子层次向上走,直到找到一个拥有dependencyManagement元素的项目,然后它就会使用在这个dependencyManagem
【已解决】springboot编译出现quartz-scheduler:quartz:jar with value ‘*‘ does not match a valid id pattern
Aoional的博客
10-29 2715
最近springboot项目引入最新版2.3.4版本后使用maven编译报了一个未来maven编译不稳定的警告,如下 'dependencyManagement.dependencies.dependency.exclusions.exclusion.artifactId' for org.quartz-scheduler:quartz:jar with value '*' does not match a valid id pattern. @ org.springframework.boot:spri
dependencyManagement的用法
qq_1641486826的博客
06-24 3380
maven标签中有一个标签是dependencyManagement,他表示对依赖的管理,而不注入依赖。 下面我们定义了依赖的版本 <dependencyManagement> <dependencies> <dependency> <groupId>org.elasticsearch.client</groupId> <a
dependencyManagement和dependencies区别
09-24
dependencyManagement和dependencies在maven的pom文件中的作用是进行包管理。它们的区别在于作用范围和继承关系。 dependencyManagement是用来集中管理所有子模块的依赖版本信息的。当你在父pom中使用dependencyManagement标签定义了依赖的版本信息后,子模块可以直接引用这个依赖,而无需再指定版本号。dependencyManagement标签的作用范围是全局的,适用于所有的子模块。 而dependencies标签是用来具体声明子模块所依赖的具体依赖项的。通过dependencies标签声明的依赖项会在编译和运行时被添加到子模块的classpath中。dependencies标签的作用范围仅限于当前的子模块。 在使用dependencyManagement和dependencies标签时,如果子模块需要对某个依赖项进行个性化的定义,可以在子模块的pom文件中重新声明该依赖项,重新定义的内容将会覆盖父pom中对应依赖项的定义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值