maven指定版本依赖关系并使用exclusion
场景:项目中安全检测软件检测到tomcat-embed-websocket-9.0.33版本存在漏洞,要求更新至9.0.41以上。 首先,可以使用插件来验证包是否依赖于tomcat-embed-websocket。 在这种情况下,所有这些包都必须在exclusion中删除依赖关系,并使用指定版本的依赖关系。 然后,要使用指定版本的依赖关系,必须将其放在该包之前。 否则,就会无效。 这意味着,如果将指定版本的依赖关系放在包之后,则会禁用该依赖关系。
要查看POM包依赖关系,请右键单击POM文件,然后使用诊断程序查看从属关系。 但是,没有社区版。 自己还可以在百度下车。
如下所示,spring-boot-starter-web包依赖tomcat-embed-websocket。 可以替换为9.0.41版
? XML version=' 1.0 ' encoding=' utf-8 '? project xmlns=' http://maven.Apache.org/POM/4.0.0 ' xmlns : xsi=' http://www.w3.org/2001/XML schema-ins TTS maven-4.0.0.xsd ' model version4.0.0/modelversiongroupidorg.exsd artifactidversion 1.0-snapshot/versionpropperon 在排除maven.com piler.source maven.com piler.tter Tomcat-embed-web socket的依赖项之前,如果没有, spring-boot-starter-web还是9.0.33版的Tomcat-embed-web socket-- dependencygroupidorg.Apache.Tomcat.embed 自动下载groupidartifactidtomcat-embed-web socket/artifactidversion 9.0.41/version/dependencydependencygroupidorg.spring frg groupidartifactidspring-boot-starter-web/artifactidversion2.2.2.6. releleaseasase versionexclusionsexclusiongroupidorg.groupidartifactidtomcat-embed-web socket/artifact id/exclusion/exclusions/depoptid