JFrog XRay 分析错误版本

【问题标题】:JFrog XRay analyzing the wrong versionJFrog XRay 分析错误版本
【发布时间】:2021-06-17 17:47:30
【问题描述】:

我的应用程序使用 Maven 构建,它的依赖项包括 LibA 和 LibB。它们又依赖于同一个库 com.thoughtworks.xstream:xstream,但 LibA 依赖于 1.4.16 版本,而 LibB 依赖于 1.4.8。当我运行mvn dependency:tree 时,我可以看到只有 1.4.16 版本正在使用,而当我解压缩构建的 JAR 文件时,我看到只有 xstream-1.4.16.jar 存在。但是 Xray 报告说我的应用程序存在安全问题,因为它通过 LibB 依赖于 xstream 版本 1.4.8。

还有其他人遇到过这种行为吗?有没有办法让 Xray 意识到我们的二进制文件与旧的 1.4.8 版本无关?

【问题讨论】:

    标签: jfrog-xray


    【解决方案1】:

    事实证明,LibB 是一个直接包含 xstream 1.4.8 的胖 jar,因此 Xray 是正确的,我们的应用程序包含它,即使它不在 Maven 的依赖项列表中。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-12-07
      • 1970-01-01
      • 1970-01-01
      • 2019-04-18
      • 2021-11-08
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode