我的POM中有spring-boot-starter,版本由Camden依赖管理系统自动解决。
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Camden.SR6</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<dependencies>
<!-- Spring Boot -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
</dependencies>
这给了我一个版本1.4.3.RELEASE的spring-boot-starter。
其中一个jars spring boot starter包括自动在maven依赖项中的logback-classic:1.1.18
ch.qos.logback_logback-core version 1.1.8有一个漏洞,因此我想切换到logback版本1.2 此漏洞在以下链接中进行了解释
https://nvd.nist.gov/vuln/detail/CVE-2017-5929
现在,有没有办法将spring-boot-starter自动解析后的版本重写为1.2,以便我不会遇到此漏洞?
答案 0 :(得分:2)
根据您的pom文件,您可以通过首先排除1.1.8的依赖关系然后添加1.2.0的依赖关系来实现此目的。
例如:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
<exclusions>
<exclusion>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>1.2.0</version>
</dependency>
答案 1 :(得分:0)
在pom中添加属性标签,如下所示
<properties>
<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>
<start-class>org.roshan.Application</start-class>
<hibernate.version>5.2.10.Final</hibernate.version>
<liquibase.version>3.5.3</liquibase.version>
<liquibase-hibernate5.version>3.6.0</liquibase-hibernate5.version>
<httpcore.version>4.4.5</httpcore.version>
<httpclient.version>4.5.3</httpclient.version>
<docker-maven-plugin.version>0.4.13</docker-maven-plugin.version>
</properties>