一,背景
Spring项目上线前进行了安全扫描,一些安全漏洞扫出来了,需要做一些处理。扫描的结果如下:
[安装包路径:/usr/local/opr-platform/opr-platform.jar -> BOOT-INF/lib/commons-compress-1.19.jar
当前版本:1.19
存在漏洞版本:>=1.1,<1.21
修复版本:1.21]
根据扫描结果的建议来说,就是需要升级commons-compress包到1.21版本。
那么就需要找到commons-compress包时从哪里引入的,然后再去做相应的升级。
二,查询pom依赖
1,mvn dependency:tree
idea里执行mvn dependency:tree命令,获取到如下内容
可以看到commons-compress包来自哪个包。
2,mvn dependency:list
idea里执行mvn dependency:list命令,获取到如下内容
没有树状结构,但是可以看到项目引入的所有的包。
三,Idea中查看依赖关系
idea自带的工具也可以看到包引用的关系
四,解决问题
回到背景里提到漏洞,在找到包之后,可以用以下的方法修复
<!-- 将easyexcel中的低版本commons-compress排除掉,再导入高版本的commons-compress -->
<groupId>com.alibaba</groupId>
<artifactId>easyexcel</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.commons</groupId>
<artifactId>commons-compress</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-compress</artifactId>
<version>1.21</version>
</dependency>
但是需要注意的是,并不是所有的升级都适用上面这种,因为可能两个版本不兼容,所以在做上面这样的升级时,需要测试一下是否兼容,功能是否正常。
如果测试没问题,才可以上线。如果测试时有问题,需要再做补救措施。
如果对你有帮助,记得点赞关注收藏哟!
