मैं एक विरासत स्प्रिंग बूट प्रोजेक्ट को फिर से सक्रिय कर रहा हूं जो स्प्रिंग एकीकरण को लागू करता है। एक मॉड्यूल में, मैंने CVE-2019-3772 भेद्यता को ठीक करने के लिए निम्नलिखित निर्भरता को हटा दिया है। परियोजनाएं अभी भी बिना किसी विफलता के संकलित और चलती हैं। मैंने स्रोत कोड की जाँच की है और कोई भी आयात इस निर्भरता का उपयोग नहीं करता है।

तो, इस निर्भरता का क्या उपयोग है?

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-integration</artifactId>
</dependency>

फिर भी, मॉड्यूल निम्नलिखित एकीकरण निर्भरताओं का उपयोग करता है।

<dependency>
    <groupId>org.springframework.integration</groupId>
    <artifactId>spring-integration-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.integration</groupId>
    <artifactId>spring-integration-http</artifactId>
</dependency>
2
Vimal David 15 सितंबर 2019, 22:54

1 उत्तर

सबसे बढ़िया उत्तर

स्टार्टर केवल spring-integraition-core और spring-aop में खींचता है, जो आपके अन्य स्प्रिंग इंटीग्रेशन डिप्स की ट्रांजिटिव डिपेंडेंसी भी हैं; तो यह बेमानी है।

4
Gary Russell 15 सितंबर 2019, 20:21