maven - Blackduck 扫描显示文件已被旧版本的 Jetty Http 修改

问题描述

我们有一个模块，我们在 maven 中构建为可执行 jar 文件，使用 commad 行，使用版本为 2.1.0.RELEASE 的 spring-boot-maven-plugin 通过将目标作为重新打包，classifire 作为 one-jar 并配置 mainClass 也。

在我的 pom.xml 文件中，代码如下所示：

<plugin>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-maven-plugin</artifactId>
    <version>2.1.0.RELEASE</version>
    <executions>
        <execution>
            <goals>
                <goal>repackage</goal>
            </goals>
            <configuration>
                <classifier>spring-boot</classifier>
                <mainClass>
                  ------------
                </mainClass>
            </configuration>
        </execution>
    </executions>
</plugin>

---

<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-http</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-security</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
---

并且我们的模块包含配置为 9.4.33.v20201020 版本的 org.eclipse.jetty 相关依赖项。当我们为这个模块 jar 文件配置 Blackduck 扫描时，扫描会选择一些旧版本的 jetty。例如对于 jetty-http 和 jetty-security 依赖项，它选择 9.4.31.v20200723 也显示为 FILE MODIFIED 以及 9.4.33.v20201020。

由于我已经交叉验证了 9.4.31.v20200723 版本的整个 maven 存储库，因此我没有找到该版本的任何码头依赖项。仍然 Blackduck 扫描显示旧码头版本为 FILE MODIFIED。

任何人都可以帮助我了解 Blackduck 中的 FILE MODIFIED 匹配类型是什么以及如何解决这个问题。

标签： mavensecurityjetty