Spring Sonatype扫描显示10年以上的依赖关系_Spring_Constraints_Sonatype_Crlf Vulnerability

Spring Sonatype扫描显示10年以上的依赖关系

spring

Spring Sonatype扫描显示10年以上的依赖关系,spring,constraints,sonatype,crlf-vulnerability,Spring,Constraints,Sonatype,Crlf Vulnerability,我是nexus IQ问题的新手。当NexusIQ通过Sonatype扫描以下组件时，我得到了“依赖性超过10年”的约束组件名称： antlr:antlr:2.7.7 javax.xml:jaxpapi:1.4.2 org.codehaus.jettison:jettison:1.2 org.json:json:20080701 我没有在pom.xml中明确提到上述任何依赖关系。此外，应用程序中的任何地方都没有提到JSON版本。正如问题描述所述，依赖项的历史超过10年。例如，org.jso

我是nexus IQ问题的新手。当NexusIQ通过Sonatype扫描以下组件时，我得到了“依赖性超过10年”的约束

组件名称：

antlr:antlr:2.7.7

javax.xml:jaxpapi:1.4.2

org.codehaus.jettison:jettison:1.2

org.json:json:20080701

我没有在pom.xml中明确提到上述任何依赖关系。

此外，应用程序中的任何地方都没有提到JSON版本。

正如问题描述所述，依赖项的历史超过10年。例如，

org.json:json:20080701

是从2008年开始的。您应该将它们更新到新版本

编辑：

运行

maven dependency:tree

以查找这些依赖项的父项。然后，您必须按照偏好递减的顺序在几个解决方案之间进行选择

更新父版本（假设较新的父版本将使用较新版本的子依赖项）

如果您无法使用#1，请直接添加这些有问题的依赖项的较新版本（假设父依赖项与这些较新版本兼容）

在任何一种情况下，您都必须彻底地测试您的应用程序（如果应用程序已经有了高质量的单元测试，这应该很容易）

我没有在pom.xml中直接添加这些依赖项。我已经在答案中添加了更多的细节。