Scala 解决漏洞检查中的问题
我们使用Anchor Engine在sbt项目中进行了漏洞检查 大多数错误都与Jackson数据绑定有关。我们甚至没有像使用spray JSON进行序列化那样使用它。搜索后,我发现它被sbt内部使用。所以我不能升级它的版本。因此,我尝试将sbt版本从1.2.6升级到1.4.0,以解决此问题,但没有成功Scala 解决漏洞检查中的问题,scala,security,sbt,Scala,Security,Sbt,我们使用Anchor Engine在sbt项目中进行了漏洞检查 大多数错误都与Jackson数据绑定有关。我们甚至没有像使用spray JSON进行序列化那样使用它。搜索后,我发现它被sbt内部使用。所以我不能升级它的版本。因此,我尝试将sbt版本从1.2.6升级到1.4.0,以解决此问题,但没有成功 object Versions { val guice = "4.2.1" val slick = "3.3.2" val
object Versions {
val guice = "4.2.1"
val slick = "3.3.2"
val hikariCP = "3.3.0"
val postgres = "42.2.5"
val rabbitMQClient = "5.5.1"
val logbackClassic = "1.2.3"
val sprayJson = "1.3.5"
val akkaHttp = "10.1.5"
val akkaActor = "2.5.19"
val akkaStream = "2.5.19"
val scalaTest = "3.0.1"
val h2 = "1.4.197"
val rabbitmqMock = "1.0.8"
val mockito = "1.9.5"
}
object CompileDeps {
val guice = "com.google.inject" % "guice" % Versions.guice
val scalaGuice = "net.codingwell" %% "scala-guice" % Versions.guice
val postgresql = "org.postgresql" % "postgresql" % Versions.postgres
val slick = "com.typesafe.slick" %% "slick" % Versions.slick
val hikariCP = "com.typesafe.slick" %% "slick-hikaricp" % Versions.hikariCP
val rabbitMQClient= "com.rabbitmq" % "amqp-client" % Versions.rabbitMQClient exclude("com.fasterxml.jackson.core", "jackson-databind")
val logbackClassic = "ch.qos.logback" % "logback-classic" % Versions.logbackClassic
val sprayJson = "io.spray" %% "spray-json" % Versions.sprayJson
val akkaHttp = "com.typesafe.akka" %% "akka-http" % Versions.akkaHttp
val akkaActor = "com.typesafe.akka" %% "akka-actor" % Versions.akkaActor
val akkaStream = "com.typesafe.akka" %% "akka-stream" % Versions.akkaStream
val akkaHttpSprayJson = "com.typesafe.akka" %% "akka-http-spray-json" % Versions.akkaHttp
}
从属布朗曲线图
那么,有谁能指导我如何解决这些安全检查
谢谢您正在通过RabbitMQ依赖关系获取Jackson。请参阅在上编译RabbitMQ版本的依赖项 此依赖项被标记为可选,因此您可能可以使用安全删除它。试试看!如果不起作用,请显式添加依赖项以切换到更安全的新版本,或者找到抑制警告的方法
将来:用于生成可视依赖关系图(
dependencyBrowseGraph
),然后您将能够看到哪些库获取和收回您的依赖关系。SBT内部使用的Jackson?我真的很怀疑。我认为您正在将编译的任何东西的运行时类路径与SBT的类路径混合在一起。SBT对Jackson没有依赖性——我可以说它使用了sjson new。我建议使用生成一个依赖关系图,并检查是否有东西没有将jackson作为可传递依赖关系。感谢您的回复。事实上,我在我的项目中搜索,所以它是在sbt下。我将共享我的所有依赖项。我不确定是哪一个使用了jackson。谢谢,@Mateusz我试过这个,但报告中并没有变化,仍然是同一个问题。我可能做得不正确,所以我更新了问题中我是如何排除的。生成图表!没有它,这只是受过教育的猜测。我检查并生成了一个图表。在依赖关系图中奇怪的是,与Jackson数据绑定无关。我附上了一个截图。你可以看到