pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告

已于 2023-03-31 22:13:31 修改
阅读量3.9w 收藏 54
点赞数 32
文章标签: maven xml java spring boot
于 2023-03-31 22:12:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54250110/article/details/129889512
版权

警告出现

构建springboot3项目时,pom文件的spring-boot-starter-web依赖部分整体高亮,

显示Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

警告原因

这个警告提示我们的Maven项目中使用了一个被认为是有漏洞的依赖项,并且这个依赖项也被其他依赖项所传递。

具体来说,这个警告是指:

在我们的pom文件中,org.yaml:snakeyaml:1.33这个库是存在漏洞的。

解决警告

1.升级依赖项

尝试升级依赖项版本,如果有更新的版本可用,则可能已经修复了该漏洞,

中央仓库搜索此依赖可以看见最新的版本是2.0,并且它没有红字漏洞警告,说明2.0版本已经解决了这个漏洞。(当前日期为2023.03.31)

既然在新版本中,这个依赖已经解决了漏洞,那么我们可以升级依赖项版本

在Maven项目中,可以使用dependencyManagement标签来管理依赖项。

在这个标签中,可以指定一个特定版本,以便所有依赖项都将使用这个版本

例如,将以下内容添加到pom文件中

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.yaml</groupId>
                <artifactId>snakeyaml</artifactId>
                <version>2.0</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

这将确保所有使用snakeyaml库的依赖项都使用指定的2.0版本,而不是使用其他版本。如果有可用的更高版本,可以选择将版本号更新为最新版本。

2.移除依赖项

如果这个库不是必须的,你可以考虑从你的项目中移除它。

例如尝试移除spring-boot-starter-web依赖中的snakeyaml依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.yaml</groupId>
                    <artifactId>snakeyaml</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3.忽略警告

如果你确定你的代码和应用程序环境能够安全地处理这个漏洞,你可以选择忽略警告,但这并不是一种推荐的做法。

吃青椒的秋草鹦鹉
关注
  • 32
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
idea显示pom.xml文件漂黄警告 Dependency maven:xxx:xxx is vulnerable
hkl_Forever的博客
11-17 4073
1、打开idea设置,找到 File | Settings | Editor | Inspections。2、取消上述两项勾选即可。
rules_maven:具有Bazel的传递Maven依赖项
02-02
rules_maven 规则 Maven 规则用于处理传递Maven依赖项。 这里的“专家”一词是指“专家工件”,而不是工具“ mvn”。 此仓库利用gradle协助进行传递依赖项管理,因此提供了徽标参考。 规则 名称 描述 加载此仓库的依赖项。 声明一个外部工作空间,该工作空间定义了一组Maven工件的传递依赖项。 状态:试验,但正在其他内部项目积极使用。 用法 1.将rules_maven添加到您的WORKSPACE git_repository ( name = "org_pubref_rules_maven" , remote = "https://github.com/pubref/rules_maven" , commit = HEAD , # replace with latest version ) load ( "@org_pubref_rules_maven//maven:rules.bzl" , "maven_repositories" ) maven_repositories () 2a。 定义一个初始的maven_repository
【问题】pom.xml文件解决Provides transitive vulnerable警告
sinat_37967865的博客
01-16 1748
我们在Maven项目时,pom.xml文件对应的包有时会出现Provides transitive vulnerable警告
解决snakeyaml升级2.0版本启动报错的实践经验总结
最新发布
qq_33892640的博客
03-05 3606
然而,改完之后启动项目会出现:java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method ()V not found 的报错。3. 由于 idea 反编译的源码会自动添加上一些强制类型转换和创建一些新的对象,导致报错,根据 idea 的提示删掉或修改即可。1. 在自己项目的 src/main/java 的路径下,建立org.yaml.snakeyaml.representer包。
snakeyaml安全漏洞,需升级snakeyaml到2.0及以上版本
qq_37202188的博客
01-15 5520
snakeyaml安全漏洞,升级snakeyaml到2.0及以上版本
logback配置内容以及遇到的问题
u010711633的博客
01-30 2645
写一篇关于logback的文章 日志工具logback,用来替代log4j的,springboot下的使用,只要引入以下就可以了. 因为springboot的starter-parent在依赖里面已经增加了logback的依赖 org.springframework.boot spring-boot-starter-parent 2.1.8.RELEASE 同时需要在application.y...
Provides transitive vulnerable dependency maven:commons-collections:commons-collections:3.2.2
Smileyan's blog
03-16 7545
maven依赖警告vulnerable 脆弱依赖
Provides transitive vulnerable dependency org.yaml:snakeyaml:1.33
热门推荐
WS的小屋
01-11 1万+
新创建了一个的项目,弹出警告
警告Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.30
宋冠巡的博客
09-03 3584
SpringBoot 的 validation 依赖包含有易受攻击的依赖 snakeyaml警告信息如下:意思是:提供了可传递的易受攻击依赖 maven:org.yaml:snakeyaml:1.30。 解决方案:使用 `dependencyManagement` ,将所有的 `snakeyaml` 统一改成没有隐患的版本。
提供可传递的易受攻击的依赖项 maven:org.yaml:snakeyaml:1.33
青云的博客
06-15 3874
警告信息: 提供可传递的易受攻击的依赖项 maven:org.yaml:snakeyaml:1.33
Web起步依赖警告:提供可传递的易受攻击的依赖项 maven:org.yaml:snakeyaml:1.33
一起加油吧!
12-07 1477
SpringBoot在3.2.0版本已经将问题修复,如果你的版本低于3.2.0,可以通过升级依赖项版本解决依赖警告问题。
transitive.js:运输数据可视化
04-13
transiveive.js 生成易于理解的动态... 您还可以在本地运行此命令: git clone https://github.com/conveyal/transitive.jscd transitive.jsyarn start# Go to http://localhost:5555 to view the storybook (the web
netty-transport-4.1.73.Final-API文档-英对照版.zip
05-03
赠送Maven依赖信息文件:netty-transport-4.1.73.Final.pom; 包含翻译后的API文档:netty-transport-4.1.73.Final-javadoc-API文档-文(简体)-英语-对照版.zip; Maven坐标:io.netty:netty-transport:4.1.73....
1407.5117:http
06-18
####Implementing Transitive Credit with JSON-LD Daniel S. Katz, Arfon M. Smith ... 在本文,我们重点解决为直接和间接贡献分配信用的问题,特别是通过使用 JSON-LD 来实现原型传递信用系统。
论文研究-Research on E-learner Personality Grouping Based on Fuzzy Clustering Analysis.pdf
08-14
基于模糊聚类分析的E-learner个性分组研究,Tian Feng ,Wang Shibin ,许多聚类方法已经被用于个性化网络学习系统之,用于发现用户的兴趣群组或者群体共性。但是目前很多方法没有考虑到所收集到或者
Maven pom.xml警告Provides transitive vulnerable dependency - Intellij IDEA
zhanggang807的专栏
11-04 1万+
Provides transitive vulnerable dependency
IntelliJ IDEA [警告] pom的依赖出现警告Provides transitive vulnerable dependency
好久不见的流星
12-31 1万+
在我们的工程 pom.xml 的依赖,所依赖的 spring-boot-starter-web 出现了警告Provides transitive vulnerable dependency maven:ch.qos.logback:logback-classic:1.4.11),本文将介绍如何去消灭它。
Spring5
qq_42444241的博客
01-29 517
1、spring 1.1、简介 SpringSpring是一个开源框架,它由[Rod Johnson](https://baike.baidu.com/item/Rod Johnson)创建。它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring受益。 Spring是一个轻量级的控制反转(IoC)和面向切面(AOP)
成长笔记:springboot项目配置logback日志系统
Java-面试
04-19 1996
记录springboot项目配置logback日志文件管理: logback依赖jar包 SpringBoot项目配置logback理论上需要添加logback-classic依赖jar包: <dependency> <groupId>ch.qos.logback</groupId> <artifactId>logback-classic</artifactId> <version>1.2.3</versi
Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.30
06-11
这是一个 Maven 依赖库的警告信息,意思是该项目依赖的库包含一个名为 snakeyaml 的库,版本为 1.30,该库存在潜在的安全漏洞。具体来说,该漏洞可能会导致攻击者执行任意代码或者拒绝服务攻击。 为了解决这个问题,你可以考虑以下几个步骤: 1. 更新 snakeyaml 库的版本:找到该库的最新版本并将其更新到项目的依赖。如果最新版本已经修复了潜在的安全漏洞,那么这个警告信息就会消失。 2. 检查该库是否真正需要:如果该库对你的项目并不是必需的,你可以考虑移除它。这样可以避免潜在的安全风险。 3. 监控该库的安全问题:如果该库是必需的,你可以考虑定期监控该库的安全问题,并及时更新到最新版本,以避免潜在的安全风险。 总之,这个警告信息是一个提醒,需要你及时采取相应的措施来保证项目的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值