前言
最近公司的项目做了一个漏洞扫描,就是扫描项目中引入的第三方maven依赖,是否有安全漏洞。而我要做的就是,根据安全漏洞,对扫描出的依赖版本,进行升级。
问题
看上去很简单,只需要照着文档。去改版本号就行了。
但其实里面也有要注意的问题,那就是maven依赖问题。
公司的项目是根据maven聚合工程开发的,有些工程是两个项目组合一起完成的。
比如一个是A工程,一个是工程B,B依赖了一个开源框架C。
而我要做的就是升级这个开源框架C的版本。
我模拟一下遇见的问题。步骤如下:
创建Project_C
创建一个工程C,模拟一个开源依赖,里面有一个Hello类,里面一个简单的方法。写好后Install到本地仓库,作为版本0。
再创建一个类,如下,然后去更改pom的版本号,install,这样我们这个Project_C就有两个版本了。(版本0和版本1)
创建Project_B
在B中配置C的坐标,然后把B安装到本地仓库。
创建Project_A
在A中导入B的坐标,此时开源看见maven中的坐标依赖关系
更新C的版本
现在在B中把C的版本升级,然后重新安装
回到Project_A后,会发现,A中引入的版本B中引入的C已经更新了。
这是我期望的结果,但是在实际改的过程中,我改了B中引入的C,但是A引入了B,B里面还是老版本的C。很费劲解。如下
原因
一开始以为是缓存的问题,但是清了缓存还是没有变化。后来发现,原来是SpringBoot的依赖问题。
SpringBoot中,默认配置了一些开源包的版本号,如果项目A里面依赖B,B依赖C,B使用了C的版本1。但是A依赖了B后,A中的SpringBoot默认C的版本是0,所以会导致依赖进来的B使用A中SpringBoot默认配置的版本。
所以我漏洞扫描老是过不了。。。。
验证一下
在A中使用dependencyManagement标签,设置C的版本号是0,你会发现,之后B中不管怎么改C的版本号,A中都永远使用A中设置的C的版本。
