pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告问题

更新时间：2023年06月30日 11:00:39 作者：吃青椒的秋草鹦鹉

这篇文章主要介绍了在pom.xml中如何解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告问题,需要的朋友可以参考下

警告出现

构建springboot3项目时，pom文件的spring-boot-starter-web依赖部分整体高亮，

显示Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

警告原因

这个警告提示我们的Maven项目中使用了一个被认为是有漏洞的依赖项，并且这个依赖项也被其他依赖项所传递。

具体来说，这个警告是指：

在我们的pom文件中，org.yaml:snakeyaml:1.33这个库是存在漏洞的。

解决警告

1.升级依赖项

尝试升级依赖项版本，如果有更新的版本可用，则可能已经修复了该漏洞，

去中央仓库搜索此依赖可以看见最新的版本是2.0，并且它没有红字漏洞警告，说明2.0版本已经解决了这个漏洞。（当前日期为2023.03.31）

既然在新版本中，这个依赖已经解决了漏洞，那么我们可以升级依赖项版本

在Maven项目中，可以使用dependencyManagement标签来管理依赖项。

在这个标签中，可以指定一个特定版本，以便所有依赖项都将使用这个版本

例如，将以下内容添加到pom文件中

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.yaml</groupId>
                <artifactId>snakeyaml</artifactId>
                <version>2.0</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

这将确保所有使用snakeyaml库的依赖项都使用指定的2.0版本，而不是使用其他版本。如果有可用的更高版本，可以选择将版本号更新为最新版本。

2.移除依赖项

如果这个库不是必须的，你可以考虑从你的项目中移除它。

例如尝试移除spring-boot-starter-web依赖中的snakeyaml依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.yaml</groupId>
                    <artifactId>snakeyaml</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3.忽略警告

如果你确定你的代码和应用程序环境能够安全地处理这个漏洞，你可以选择忽略警告，但这并不是一种推荐的做法。

到此这篇关于pom.xml中解决Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.33警告问题的文章就介绍到这了,更多相关pom.xml中解决snakeyaml:1.33警告内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Java面向对象之内部类详解
在 Java 中，允许一个类的定义位于另一个类的内部，前者称为内部类，后者称为外部类。这篇文章将总结一下内部类的使用，感兴趣的可以了解一下
2022-10-10
在Spring Boot中集成RabbitMQ的实战记录
本文介绍SpringBoot集成RabbitMQ的步骤,涵盖配置连接、消息发送与接收,并对比两种定义Exchange与队列的方式:手动声明(适合复杂路由)和注解绑定(适合快速开发),感兴趣的朋友跟随小编一起看看吧
2025-06-06
SpringBoot下实现session保持方式
这篇文章主要介绍了SpringBoot下实现session保持方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-03-03
SpringCloud 服务负载均衡和调用 Ribbon、OpenFeign的方法
这篇文章主要介绍了SpringCloud 服务负载均衡和调用 Ribbon、OpenFeign的方法,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-09-09
java检查数组是否有重复元素的方法
这篇文章主要介绍了java检查数组是否有重复元素的方法,涉及java针对数组元素的操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下
2015-07-07
本地MinIO存储服务Java远程调用上传文件的操作过程
MinIO是一款高性能、分布式的对象存储系统,它可以100%的运行在标准硬件上,即X86等低成本机器也能够很好的运行MinIO,这篇文章主要介绍了本地MinIO存储服务Java远程调用上传文件的操作过程,需要的朋友可以参考下
2023-11-11
springboot 如何禁用某项健康检查
这篇文章主要介绍了springboot 如何禁用某项健康检查的操作，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07
Java web项目中的强制登录功能实现代码
本文给大家分享Java web项目中的强制登录功能实现代码，为了避免直接进入项目中存在的页面，使用filter过滤器，代码简单易懂，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友参考下吧
2021-11-11
将本地jar包安装进入maven仓库(实现方法)
下面小编就为大家带来一篇将本地jar包安装进入maven仓库(实现方法)。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-06-06
java 实现单链表逆转详解及实例代码
这篇文章主要介绍了java 实现单链表逆转实例代码的相关资料,需要的朋友可以参考下
2017-02-02