Spring Sonatype扫描显示10年以上的依赖关系
我是nexus IQ问题的新手。 当NexusIQ通过Sonatype扫描以下组件时,我得到了“依赖性超过10年”的约束 组件名称: antlr:antlr:2.7.7 javax.xml:jaxpapi:1.4.2 org.codehaus.jettison:jettison:1.2 org.json:json:20080701 我没有在pom.xml中明确提到上述任何依赖关系。Spring Sonatype扫描显示10年以上的依赖关系,spring,constraints,sonatype,crlf-vulnerability,Spring,Constraints,Sonatype,Crlf Vulnerability,我是nexus IQ问题的新手。 当NexusIQ通过Sonatype扫描以下组件时,我得到了“依赖性超过10年”的约束 组件名称: antlr:antlr:2.7.7 javax.xml:jaxpapi:1.4.2 org.codehaus.jettison:jettison:1.2 org.json:json:20080701 我没有在pom.xml中明确提到上述任何依赖关系。 此外,应用程序中的任何地方都没有提到JSON版本。正如问题描述所述,依赖项的历史超过10年。 例如,org.jso
此外,应用程序中的任何地方都没有提到JSON版本。正如问题描述所述,依赖项的历史超过10年。 例如,
org.json:json:20080701
是从2008年开始的。
您应该将它们更新到新版本
编辑:
运行maven dependency:tree
以查找这些依赖项的父项。然后,您必须按照偏好递减的顺序在几个解决方案之间进行选择
在任何一种情况下,您都必须彻底地测试您的应用程序(如果应用程序已经有了高质量的单元测试,这应该很容易)我没有在pom.xml中直接添加这些依赖项。我已经在答案中添加了更多的细节。