I have a maven project "Project-1". This project uses some dependencies, let's consider jackson databind 2.9.8
Another maven project "Project-2" uses "Project-1" as a dependency.
"Project-3" uses "Project-2" as a dependency.
在";项目-3";,我使用了jackson数据绑定2.10.0,使用了依赖关系管理标签。此外,在依赖标签"下;项目-2";在";项目-1";,我添加了jackson数据绑定的排除标签。
在"0"的依赖树中;项目-3";,只有一个版本的jackson数据绑定得到了解决,那就是2.10.0
但是,在管道中的安全扫描中,它仍然报告了jackson数据绑定2.9.8 的一些安全问题
我不确定这个版本是如何得到解决的,尽管依赖树中没有提到它。
我试图在";项目-1";现在但是,有没有更好的方法将其排除在";项目3"?
它看起来像是依赖项"jackson数据绑定";不是由Maven拉的,所以他们没有办法在Maven中排除它。
它可能是您运行的Maven插件的依赖项,您可以尝试通过使用调试标志-X运行Maven来发现这一点。然后你可能需要删除那个插件。
您的";扫描仪";不仅扫描项目的依赖项,还扫描其他内容。也许这是扫描仪中的一个错误,所以排除的工件也会被扫描。