为什么Sonatype IQ scan会报告Guava漏洞,而'mvn dependency:tree‘根本没有显示Guava?
为什么Sonatype IQ scan会报告Guava漏洞,而'mvn dependency:tree‘根本没有显示Guava?
提问于 2021-05-13 07:42:45
当mvn dependency:tree根本不显示Guava时,为什么Sonatype IQ扫描报告会显示(在IntelliJ-IDEA中) Guava漏洞?
这是我的Sonatype扫描结果,在Guava的所有版本中都存在7级严重漏洞。
那么,如果mvn dependency:tree -Dverbose完全没有提到芭乐,那么Sonatype scan怎么会抱怨呢?
此外,我尝试使用JDK工具,但它也没有显示jdeps依赖项。jdeps eb-mu-cbos-eeoi-api-1.0.14-SNAPSHOT.jar。
有没有一种方法或其他工具,可以让我更深入地挖掘,以发现Guava依赖引用是从哪里来的?
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-05-14 01:02:36
使用-X代替--verbose会显示Guava,但仍然不会显示库所来自的父模块。相反,它只显示类路径根目录下的Guava。
所以,我的问题的解决方案是使用Intellij-IDEA项目设置,当我尝试删除Guava时,在"Libraries“部分,它会告诉我哪个模块/库包含了它。
感谢您对我的原始问题的所有评论。它让我找到了答案。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67512287
复制相关文章
相似问题
腾讯云开发者
