本篇文章分享pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告，对你有帮助的话记得收藏一下，看Java资料网收获更多编程知识

警告出现

构建springboot3项目时，pom文件的spring-boot-starter-web依赖部分整体高亮，

显示Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

警告原因

这个警告提示我们的Maven项目中使用了一个被认为是有漏洞的依赖项，并且这个依赖项也被其他依赖项所传递。

具体来说，这个警告是指：

在我们的pom文件中，org.yaml:snakeyaml:1.33这个库是存在漏洞的。

解决警告

1.升级依赖项

尝试升级依赖项版本，如果有更新的版本可用，则可能已经修复了该漏洞，

去中央仓库搜索此依赖可以看见最新的版本是2.0，并且它没有红字漏洞警告，说明2.0版本已经解决了这个漏洞。（当前日期为2023.03.31）

既然在新版本中，这个依赖已经解决了漏洞，那么我们可以升级依赖项版本

在Maven项目中，可以使用dependencyManagement标签来管理依赖项。

在这个标签中，可以指定一个特定版本，以便所有依赖项都将使用这个版本

例如，将以下内容添加到pom文件中

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.yaml</groupId>
                <artifactId>snakeyaml</artifactId>
                <version>2.0</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

这将确保所有使用snakeyaml库的依赖项都使用指定的2.0版本，而不是使用其他版本。如果有可用的更高版本，可以选择将版本号更新为最新版本。

2.移除依赖项

如果这个库不是必须的，你可以考虑从你的项目中移除它。

例如尝试移除spring-boot-starter-web依赖中的snakeyaml依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.yaml</groupId>
                    <artifactId>snakeyaml</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3.忽略警告

如果你确定你的代码和应用程序环境能够安全地处理这个漏洞，你可以选择忽略警告，但这并不是一种推荐的做法。

文章来源:https://blog.csdn.net/m0_54250110/article/details/129889512
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系邮箱：jacktools123@163.com进行投诉反馈，一经查实，立即删除！