使用dependencyManagement全局控制依赖

最新推荐文章于 2024-08-16 05:30:00 发布
最新推荐文章于 2024-08-16 05:30:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: maven spring boot 文章标签: spring boot maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrx1995/article/details/122340830
版权
本文介绍了针对log4j漏洞的两种解决方案:全局去除log4j依赖和控制log4j版本。全局去除依赖通过在父模块的pom文件中排除log4j,但可能无法消除间接依赖。控制版本则通过在dependencyManagement中指定log4j-api的最新安全版本,确保所有依赖都使用此版本。总结中建议根据项目需求选择合适方案。
摘要由CSDN通过智能技术生成

一、背景

为了解决项目中log4j漏洞引发的安全隐患,想到的应对方案有两个:

①不再使用log4j,去除log4j依赖

②升级log4j版本至漏洞修复版本(2.15+)

二、方案缺陷

①项目太多了,一个一个地去exclude非常的繁琐,而且如果增加新项目还要时刻惦记这个事情,维护非常麻烦;

②另外可能会存在引入的某依赖当中会隐含log4j的依赖,悄悄地引入。

三、优化解决方案

①全局去除依赖

在父模块的pom文件里增加依赖管理

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-logging</artifactId>
                <exclusions>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-api</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>
        </dependencies>
    </dependencyManagement>

这样可以全局去除spring-boot-starter里自带的log4j依赖

全局去除前:

全局去除后:

 

 尽管去除了spring-boo-starter当中的loh4j依赖,但是无法去除其他依赖当中隐含的log4j依赖

②控制log4j版本

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.17.1</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

效果:

 即使不是直接引入的log4j-api依赖,也可以通过这种方式控制该依赖版本。

四、总结

方案①适用于已知那些包含log4j的依赖,而这种依赖又不太多,同时也不打算使用log4j的情形。

方案②适用接继续使用log4j的情形,推荐使用该方案,不会存在方案①那样的缺陷。另外,保留了log4j的可用性,如果其他日志解决方案出现了类似log4j这样的巨大漏洞,还可以使用log4j。

Eddie.J
关注
专栏目录
MavenMaven依赖传递导致的依赖冲突以及解决方法(exclusions标签和dependencyManagement标签)
Badme
06-11 1416
MavenMaven依赖传递导致的依赖冲突以及解决方法(exclusions标签和dependencyManagement标签)
gradle依赖管理(Dependency Management Plugin)
蛐蛐的博客
03-14 7327
MavendependencyManagement元素用来配置依赖管理,用于确定未指定版本依赖的默认版本 此元素功能可以被子模块继承,从而在一系列子模块中锁定共同的依赖版本 而在Gradle中,需要使用Dependency Management Plugin插件来实现类似功能 ...
mavendependencyManagement详解
jiaojie1112的博客
03-23 5284
背景 最近接到一个jar包依赖统一管理的任务,提供一个类似于spring-framework-bom的pom管理项目(后续我称这个为pilot项目),在接到这个任务之前,对maven的熟悉程度只能说是会简单的使用,这次才发现,其实在使用过程中也是比较浑浑噩噩的,很多东西没有深入去了解和思考,导致的影响可能对于一个项目来说,编译和运行阶段不会出什么错(就算出错了,也能很快的排查掉),但是如果要对项目有严格要求和追求的话,可能就需要更细致学习。 PS:可能我遇到的问题比较小儿科我自己不懂...
Maven DependencyManagement:掌控依赖的终极利器
xycxycooo的博客
08-16 1183
Maven的是一种机制,允许你在父POM(Project Object Model)中定义依赖的版本和配置,而不实际引入这些依赖。子项目可以选择性地继承这些依赖,并使用父POM中定义的版本和配置。通过这种方式,你可以统一管理项目中所有模块的依赖版本,避免版本冲突和不一致。Maven的功能极大地简化了多模块项目的依赖管理,使开发者能够更专注于业务逻辑的实现,而不必手动处理复杂的依赖配置。通过合理利用,你可以构建出结构清晰、易于维护的项目。掌握Maven的原理和使用方法,将使你在面对复杂项目时更加从容不迫。
Import Dependency Management with Exclusion
yangyangrenren的专栏
12-02 1163
文章来源: Import Dependency Management with Exclusion Exclusion at import won’t work, try excluding it from the actual user of the dependency 意思是: 在dependencyManagement里面的dependency中,使用exclusions,是不会有作用的。需要在实际使用的地方,去添加exclusions。 maven官方有下面一段话: https://maven.a
dependencyManagement的用法
qq_1641486826的博客
06-24 3487
maven标签中有一个标签是dependencyManagement,他表示对依赖的管理,而不注入依赖。 下面我们定义了依赖的版本 <dependencyManagement> <dependencies> <dependency> <groupId>org.elasticsearch.client</groupId> <a
springcloud进行maven打包时候出现警告
掘金者说
08-06 4096
问题: [WARNING] [WARNING] Some problems were encountered while building the effective model for com.schoolmall.micro.server:cloud-monitor-center:jar:0.0.1-SNAPSHOT [WARNING] 'dependencyManagement.dep...
gradle dependencyManagement
08-04
要在Gradle中使用`dependencyManagement`,首先需要在顶层`build.gradle`文件中添加`dependencyManagement`块,并配置所需的依赖库。然后,每个模块可以在它们自己的`build.gradle`文件中依赖于这些管理的库,而不...
maven dependencyManagement
最新发布
08-29
`dependencyManagement`部分位于pom.xml文件中,主要用于配置项目的全局依赖版本规则,这样可以在项目的各个模块之间共享相同的依赖版本,避免因为每个模块都单独指定版本而带来的混乱。 当你在`dependency...
如果只有dependencyManagement
06-20
1. **版本控制**:`dependencyManagement`定义了项目的全局依赖版本策略。它为项目中的所有依赖设置了默认的版本,这样在引入具体依赖时,如果没有显式指定版本,就会使用这里的管理版本。 2. **模块依赖统一**:...
Maven全局排除某引用的一种方式
xfcyzq的博客
08-17 6779
做了一个用maven构建的storm工程,公司为了和其他工程统一管理,将其纳入到一个整体项目中,并对所有子工程一键部署打包,在各个子工程中的pom.xml中引入parent节点来管理公共引用。 xxx.xxxxxxx.octopus octopus-parent 0.0.1 ../ 出现了一个问题是,我的项目使用的是slf4j来进行日志管理,而公共引用parent使用了sprin
dependencyManagement与dependencies
江黎
05-14 2990
一、dependencyManagement 统一多模块的依赖版本如果你的项目有多个子模块,而且每个模块都需要引入依赖,但为了项目的正确运行,必须让所有的子项目(以下子项目即指子模块)使用依赖项的版本统一,才能保证测试的和发布的是相同的结果。那么如何保证模块之间的版本是一致的呢?Maven 使用 dependencyManagement 来统一模块间的依赖版本问题。在父项目的POM文件中,我们会使...
dependencyManagement和dependencies的区别
daringdart的专栏
05-05 514
dependencyManagement和dependencies的区别
MavendependencyManagement
dongyunlon的专栏
03-15 1779
1. 父项目的dependencyManagement 最开始,知道dependencyManagement是管理jar包版本的,如果在父项目中的该节点下声明了包的版本,子项目中在Dependencies中引用该包时就不需要声明版本了,这样保证多个子项目能够使用相同的包版本。 dependencyManagement不实际下载jar包,只会声明包的版本。如果Dependencies中声明了包的...
07-依赖机制简介
ltb_jcgx的博客
08-17 150
Introduction to the Dependency Mechanism Dependency management is a core feature of Maven. Managing dependencies for a single project is easy. Managing dependencies for multi-module projects and applications that consist of hundreds of modules is possible.
基于Jeecgboot前后端分离的平台后端系统采用jenkins发布
宁波阿成的博客
08-20 718
基于Jeecgboot前后端分离的流程管理平台后端系统发布,采用jenkins发布
MavendependencyManagement标签的作用
sinat_34241861的博客
08-03 5571
一、作用 使用dependencyManagement可以统一管理项目中依赖包的版本号,当需要变更版本号时只需在父pom中修改即可;如果某个子项目需要指定一个特殊的版本号时,只需要在自己项目的pom.xml中显示声明一个版本号即可,此时子项目会使用自己声明的版本号,而不继承父项目的版本号 二、dependencyManagement与dependencies的区别 dependencies相对于dependencyManagement,所有声明在dependencies里的依赖都会自动引入,并默认被所有的
dependencyManagement与dependencies区别
zzhongcy的专栏
12-21 477
一、dependencyManagement应用场景 为了项目的正确运行,必须让所有的子模块使用依赖项的统一版本,必须确保应用的各个项目的依赖项和版本一致,才能保证测试的和发布的是相同的结果。在我们项目顶层的pom文件中,我们会看到dependencyManagement元素。通过它元素来管理jar包的版本,让子项目中引用一个依赖而不用显示的列出版本号。Maven会沿着父子层次向上走,直到找到一个拥有dependencyManagement元素的项目,然后它就会使用在这个dependenc...
SpringBoot之parent、starter、引导类、内嵌tomcat
从基础到源码解析的学习记录
07-09 638
使用parent可以帮助开发者进行版本的统一管理 打开后可以查阅到其中又继承了一个坐标 这个坐标中定义了两组信息,第一组是各式各样的依赖版本号属性 第二组是各式各样的的依赖坐标信息,可以看出依赖坐标定义中没有具体的依赖版本号,而是引用了第一组信息中定义的依赖版本属性值 第二组依赖坐标是在依赖管理标签内,则表示只是引入申明,只有在子pom中使用(不用写版本号)依赖才会导入,所有即使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值