问题描述
我们有一个模块要在maven中构建为可执行的jar文件,使用commad行并使用2.1.0版的spring-boot-maven-plugin.RELEASE通过将目标作为重新打包传递, 将classifire设为一个jar,并且还配置了mainClass。
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>2.1.0.RELEASE</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
<configuration>
<classifier>spring-boot</classifier>
<mainClass>
------------
</mainClass>
</configuration>
</execution>
</executions>
</plugin>
---
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-http</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-security</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
---
,我们的模块包含与org.eclipse.jetty相关的依赖项,这些依赖项配置为9.4.33.v20201020版本。当我们为此模块jar文件配置Blackduck扫描时,该扫描正在选择一些较旧版本的jetty。 例如,对于jetty-http和jetty-security依赖关系,它选择9.4.31.v20200723并显示为FILE MODIFIED和9.4.33.v20201020。
由于我已经对9.4.31.v20200723版本的整个Maven存储库进行了交叉验证,因此我没有发现此版本有任何跳船依赖。仍然Blackduck扫描显示较旧的码头版本为FILE MODIFIED。
任何人都可以帮助我了解Blackduck中什么是文件修改匹配类型以及如何解决此问题。
解决方法
已修改文件。扫描发现与Black Duck KB中某个组件的模糊匹配,在其中修改了一些存档文件。有时,这是与该组件的先前版本或后续版本的匹配项,而在进行匹配时,Black Duck KB可能已缺少该组件。
您的blackduck数据库似乎很旧,没有引用这些较新的Jetty版本。