我注意到我无法在spring-batch github上创建一个问题,我无法在Spring论坛上创建一个主题,所以我被重定向到这里。
我在pom.xml
<dependency>
<groupId>org.springframework.batch</groupId>
<artifactId>spring-batch-core</artifactId>
<version>4.0.1.RELEASE</version>
</dependency>
文件中有此内容
mvn dependency-check:check当我运行mvn dependency:build-classpath -Dmdep.outputFile=cp.txt时,我看到了这些问题
我跑mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'
上面有问题的罐子位于我的类路径中。然后运行'mvn dependency:tree`但没看到有问题的罐子。
.NET我试过谷歌搜索一些核心CVE,它们说升级spring-mvc,我在项目中甚至都没有,但我还是明确定义了它。我的春季版本设置为最新的4.x甚至升级到5.x仍然会引发漏洞,因为spring-batch-core的最新版本仍然容易受到攻击。
我的pom文件中有错误吗?
答案 0 :(得分:1)
首先,这些CVE都不直接应用于Spring Batch或spring-batch-core jar文件。它们都与Spring Framework和Spring MVC相关。此外,这些CVE中的每一个都已在指定的修补程序版本中得到缓解。
如果您确认您的POM引入了正确的,不可浏览的Spring Framework版本,那么这是一个误报的情况,您需要配置您正在使用的任何工具解决这个问题。如果由于构建过程而构建的工件包含易受攻击的Spring Framework版本(或相关组件),那么您的POM确实存在问题。我们可以提供帮助,但我们需要看到POM才能这样做。