快速解决依赖包漏洞不用升级的解决方案
某一天将程序进行了安全漏洞扫描我擦,一堆的安全漏洞。
那么除了替换或者升级还有什么好的办法么?
我们都知道底层的架构确定好以后,想升级依赖包是很难的事情。
嘿嘿
随机呢我就想到了,我可以将源码下载下来,重新编译呀,完了提交到私服,在引用名称都变了,肯定扫描不出来对吧,一般都是名称匹配嘛。
但是很快这个方案就被否定了,为什么,太多了呀。太多太多,
那么我们得看一下,这种漏洞的依赖匹配扫描的是哪里呢?
哦~原来是 依赖包下面有 META-INF 这个文件夹,里面pom.properties,以及pom.xml,那我们删掉算了。
zip -d /Users/gaotengfei/.m2/repository/cn/tiplus/shioo/roshi-core/1.8.0.0/roshi-core-1.8.0.0.jar /META-INF/maven/org.apache.shiro/shiro-core/pom.properties
zip -d /Users/gaotengfei/.m2/repository/cn/tiplus/shioo/roshi-core/1.8.0.0/roshi-core-1.8.0.0.jar /META-INF/maven/org.apache.shiro/shiro-core/pom.xml删掉以后,我们重新外部引入pom.xml重新打包,换名字不就得了,so easy对不对。
来展示
mvn deploy:deploy-file -Dfile=*.jar -DgroupId=cn.*.shioo -DartifactId=*-web -Dversion=1.8.0 -Dpackaging=jar -DpomFile=*/pom.xml -DrepositoryId=releases -Durl=http://*/repository/releases本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2023-10-24
,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。