我正在使用Apache Maven 3.6.3 &Spring boot 1.5无微服务架构。我正在完成一项任务,以修复目前存在于我们项目的依赖关系树中的脆弱依赖关系。Logback-classic就是这些依赖项之一。我可以更改顶层依赖的版本(在顶层pom中),但我无法将其版本从1.11.1升级到1.2.3,因为在一个子pom中使用的spring-boot-starter-web starter中存在logback依赖。
我可以排除-
这样的版本<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<version>2.2.0.RELEASE</version>
<exclusions>
<exclusion>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
</exclusion>
</exclusions>
</dependency>
但是,我无法更新项目中JAR之一的spring-boot-starter-web starter的依赖树中存在的相同依赖项的版本。我尝试使用<提供版本更新。dependencyManagement祝辞标记为->
<project>
......
<dependencyManagement>
<dependencies>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>1.2.3</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<version>2.2.0.RELEASE</version>
<exclusions>
<exclusion>
<groupId>ch.quos.logback</groupId>
<artifactId>logback-classic</artifactId>
</exclusion>
</exclusions>
</dependency>
........
</dependencies>
......
<project>
注- In
您提到的库(Logback-classic)报告了许多兼容性问题
你可以在它的仓库的相关问题中看到
我建议你尝试不同版本的Spring(新版本)并检查结果在Github问题中搜索版本和更新,您可能会发现一些