Prisma 易受攻击的依赖项未在 Maven 依赖项中显示:树
Posted
技术标签:
【中文标题】Prisma 易受攻击的依赖项未在 Maven 依赖项中显示:树【英文标题】:Prisma vulnerable dependency not shown in maven dependency:tree 【发布时间】:2021-09-27 22:05:33 【问题描述】:对 Spring Boot 应用程序的 Prisma 扫描显示 jackson-dataformat-cbor 版本 2.11.0 中存在漏洞。但是这个版本的 cbor 在应用程序中不存在。
我通过mvn dependency:tree 和mvn dependency:list 验证了这一点。但是只有 2.13.0-rc1 版本的 jackson-dataformat-cbor 存在,不是 2.11.0。
有人对此有任何想法吗?
【问题讨论】:
【参考方案1】:问题在于漏洞存在于基础映像本身中。不在 Spring Boot 应用程序中。谢谢。
【讨论】:
以上是关于Prisma 易受攻击的依赖项未在 Maven 依赖项中显示:树的主要内容,如果未能解决你的问题,请参考以下文章
如何修复 package-lock.json 中未在 package.json 中列出的易受攻击的 npm 包?
Gradle 依赖项未列出本地 maven jar 的依赖项