作为修复易受攻击的依赖项的一部分,我想删除/升级一些依赖项,比如 json-smart。 但在我的项目中,即使在排除依赖项并专门添加它之后,Azure Defender 或 qualys 也会将其标记为存在。这证实了依赖项来自某个通过 mvn dependency:tree 无法通过任何 IDE(无论是 eclipse 还是 Intellij idea)可见的 fat jar。
请帮助我了解是否有任何方法可以获取 fat-jars/uber-jars 内的依赖项,以便我可以排除相同的依赖项来解决问题。
我已经尝试过 mvn dependenteny:tree、list 和 jfrog 扫描仪,但它们无法识别 fat jar 内易受攻击的依赖项。我想知道是否有任何方法可以查看项目中包含的 fat jar 内的所有依赖项。
Uberjar 本身并不了解依赖关系。它仅包含其依赖项中所有类的副本。
通过查看文件夹结构(参见
jar.tf fat.jar | less但是,根据 uberjar 的生成方式,您可能会在其中的 META-INF 文件夹中找到有用的信息。 例如。 leiningen 生成 META-INF/maven/ 文件夹,其中包含嵌套目录结构中所有依赖项的 pom.xml 文件 - 如果需要,这应该很容易查看和处理