由于传递依赖关系如何解决pom中的问题

我正在处理一项任务,以消除 JFrog 插件识别的问题,该插件按风险类别识别 POM 中的条目 - 高、中等。

在我的 POM 中,我得到了这些条目的红色波浪线,我试图找出这些条目的原因以及如何解决它。

enter image description here

更新为 POM 添加文本。之前添加图像的原因是为了显示红色波浪线。它们仅针对图像中的 3 个依赖项显示

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.apache.avro</groupId>
        <artifactId>avro</artifactId>
        <version>1.9.1</version>
    </dependency>
    <dependency>
        <groupId>org.jsonschema2pojo</groupId>
        <artifactId>jsonschema2pojo-maven-plugin</artifactId>
        <version>1.1.1</version>
    </dependency>

此外,当我查看 JFrog 输出时,我什至想清理非关键问题,例如下面屏幕截图中以黄色显示的问题。

我还没有找到一种方法来确定在这些情况下修复是什么,然后应用修复。这是我正在开发的一个全新应用程序,但是使用现有应用程序中的 POM,因为它是一个大 pom,我需要实现大多数类似的功能,但是对于一个新的 pom,我想从干净的开始尽可能

感谢您的任何建议。

更新 2

谢谢@yahavi

在下图中,显示的版本是另一个 jar 的下行版本。此外,对于 spring-boot-starter-web,在 JFrog 中,它没有显示任何关键问题,但在 pom 中它有红色的波浪线。

这就是我想知道的,如何修复下行路径版本依赖项。

谢谢

enter image description here enter image description here

enter image description here

stack overflow How to resolve issues in pom due to transitive dependencies
原文答案
author avatar

接受的答案

要查看有关易受攻击组件的更多详细信息,请单击黄色灯泡,然后单击“在依赖关系树中显示”。当站在依赖项上或单击 alt + enter 时,应该会出现黄色灯泡。

Show in dependency tree

在“组件问题详细信息”下,您可以查看与所选组件及其传递组件相关的问题。 粗体中的问题与您的组件直接相关。在以下示例中,将 org.jenkins-ci.plugins:jira 升级到 3.0.11 将解决关键级别问题:

JFrog tool window

要过滤掉非严重问题,请删除 Severity 过滤器中除“严重”之外的所有严重性: Filter

阅读更多关于在 JFrog IDEA 插件 here 中扫描本地项目的信息。


答案:

作者头像

我建议检查依赖层次结构并排除不需要的

参考这个:

https://www.educba.com/maven-exclude-dependency/