Gradle 依赖项解析的逻辑是什么

在Gradle 6.7中，我们有一个dependencyManagement.dependencies来设置项目的默认值。

最近，有人用dependencySet替换了Spring的单个dependency行。

dependencySet(group: 'org.springframework.boot', version: "2.2.11.RELEASE") {
entry 'spring-boot-devtools'
entry 'spring-boot-dependencies'
entry 'spring-boot-devtools'
entry 'spring-boot-starter-aop'
entry 'spring-boot-starter-cache'
entry 'spring-boot-starter-webflux'
...

现在，在发现一些CVE警报后，我发现Gradle无论如何都会将spring-boot-starter-cache解析为2.2.8。我不确定它是从哪里得到的：我们的项目中没有它，deps树看起来就像我们自己要求的一样(它处于0级(。

+--- org.springframework.boot:spring-boot-starter-cache -> 2.2.8.RELEASE

当我明确地添加项目时，正如我们之前对所有人所做的那样，

dependency 'org.springframework.boot:spring-boot-starter-cache:2.2.11.RELEASE'

那么它最终被解析为2.2.11。

+--- org.springframework.boot:spring-boot-starter-cache -> 2.2.11.RELEASE

在Maven中，与此相比，依赖关系管理非常简单：您可以使用依赖关系管理和BOM来控制它，所有这些都可以工作，这并不奇怪。

所以，也许我在Gradle的逻辑中遗漏了一些东西，即使在阅读了依赖管理指南之后也是如此。

如何使用类似dependencySet的BOM来同时控制所有entry？或者我有错误的假设？