问题描述
我正在执行一项任务,以消除 JFrog 插件识别出的问题,该插件按风险类别(高、中等)识别 POM 中的条目。
在我的 POM 中,我收到这些条目的红色波浪线,我正在尝试找出这些条目的原因以及如何解决它。
更新 为 POM 添加文本。之前添加图像的原因是为了显示红色波浪线。它们仅显示图像中的 3 个依赖项
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.avro</groupId>
<artifactId>avro</artifactId>
<version>1.9.1</version>
</dependency>
<dependency>
<groupId>org.jsonschema2pojo</groupId>
<artifactId>jsonschema2pojo-maven-plugin</artifactId>
<version>1.1.1</version>
</dependency>
此外,当我查看 JFrog 输出时,我什至想清除非关键问题,如下面的屏幕截图中以黄色显示的问题。
我还没有找到一种方法来确定在这些情况下修复的是什么,然后应用修复。这是我正在开发的一个全新的应用程序,但是使用现有应用程序中的 POM,因为它是一个大 pom,我需要实现大部分类似的功能,但是对于新的 pom,希望以干净的方式开始尽可能
感谢您的任何建议。
更新 2
谢谢@yahavi
在下图中,显示的版本是另一个 jar 的下行版本。此外,对于 spring-boot-starter-web,在 JFrog 中,它没有显示任何关键问题,但在 pom 中它有红色波浪线。
这就是我想知道的,我该如何修复下行版本依赖项。
谢谢
解决方法
要查看有关易受攻击组件的更多详细信息,请单击黄色灯泡,然后单击“在依赖关系树中显示”。站在依赖项上或点击 alt+enter 时,黄色灯泡应该会出现。
在“组件问题详细信息”下,您可以查看与所选组件及其可传递组件相关的问题。 粗体中的问题与您的组件直接相关。在以下示例中,将 org.jenkins-ci.plugins:jira 升级到 3.0.11 将解决关键级别问题:
要过滤掉非关键问题,请删除 严重性 过滤器中除“严重”之外的所有严重性:
在 JFrog IDEA 插件 here 中阅读有关扫描本地项目的更多信息。