maven - Blackduck 扫描显示文件已被旧版本的 Jetty Http 修改
问题描述
我们有一个模块,我们在 maven 中构建为可执行 jar 文件,使用 commad 行,使用版本为 2.1.0.RELEASE 的 spring-boot-maven-plugin 通过将目标作为重新打包,classifire 作为 one-jar 并配置 mainClass 也。
在我的 pom.xml 文件中,代码如下所示:
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>2.1.0.RELEASE</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
<configuration>
<classifier>spring-boot</classifier>
<mainClass>
------------
</mainClass>
</configuration>
</execution>
</executions>
</plugin>
---
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-http</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
<dependency>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-security</artifactId>
<version>9.4.33.v20201020</version>
</dependency>
---
并且我们的模块包含配置为 9.4.33.v20201020 版本的 org.eclipse.jetty 相关依赖项。当我们为这个模块 jar 文件配置 Blackduck 扫描时,扫描会选择一些旧版本的 jetty。例如对于 jetty-http 和 jetty-security 依赖项,它选择 9.4.31.v20200723 也显示为 FILE MODIFIED 以及 9.4.33.v20201020。
由于我已经交叉验证了 9.4.31.v20200723 版本的整个 maven 存储库,因此我没有找到该版本的任何码头依赖项。仍然 Blackduck 扫描显示旧码头版本为 FILE MODIFIED。
任何人都可以帮助我了解 Blackduck 中的 FILE MODIFIED 匹配类型是什么以及如何解决这个问题。
解决方案
文件已修改。扫描发现与 Black Duck KB 中的一个组件存在模糊匹配,其中一些存档文件已被修改。有时这是与组件的先前或后续版本的匹配,在匹配时可能已从 Black Duck KB 中丢失。
似乎您的 blackduck 数据库很旧,并且没有引用这些较新的 Jetty 版本。
推荐阅读
- reactjs - 图像在反应应用程序中旋转
- arrays - 使用一组记录优化工作
- c++ - 反转带有返回值的字符串的问题?
- java - 在 StompHeaderAccessor 上访问本机标头
- java - Spring Boot 控制器中的 REST 路径链
- flutter - 为 Cupertino Picker 设置宽度和高度
- spring-boot - 如何修复类型不匹配:@ExtendWith(SpringExtension::class) KClass -> intelij 中的类?
- linux - 当我们在 shell 上打开 Vi 编辑器时会发生什么
- javascript - 用于不同流的 RxJS 全局变量
- java - 将mysql数据库数据插入html表单