ActiveMQ 版本 5.16.0 存在易受攻击的依赖 jar
[英]ActiveMQ version 5.16.0 has vulnerable dependency jar
问题描述
我正在使用从 Apache 下载的 ActiveMQ 5.16.0 。 我看到一些 jars 是具有漏洞的旧版本,例如:
- com.google.guava_guava 19.0
- 核心杰克逊数据绑定 2.9.10.4
- shiro核心1.5.3
- log4j-1.2.17
我看到以上所有易受攻击的 jars 都位于apache-activemq-5.16.0\lib\optional\下。 optional目录下的jars有什么用? 是否有任何最新版本的 ActiveMQ 具有所有最新的依赖项?
1 个解决方案
解决方案1
1 已采纳 2021-01-07 18:24:13
可选的依赖关系就是:可选的。
在您的案例中使用 Shiro 作为参考。
可选依赖项:通常,您引用的库的核心功能不需要可选依赖项。 在这种情况下,仅当您打算使用 Apache Shiro 特性或功能时才需要 Shiro。 Shiro 用于安全性,因此并非每个使用 ActiveMQ 的人都使用它是有道理的。
版本:很多时候(并非总是)可选的依赖版本不是一成不变的,可以使用较新的版本而不会破坏功能。 情况并非总是如此,因此如果您打算这样做,请从首选版本开始,并且仅在功能测试后才升级。
漏洞:仅仅因为存在漏洞,并不能使其适用于您的用例。 仅仅因为可以执行XYZ的依赖项中有一个已知漏洞,如果您的用例不使用XYZ ,它可能不会影响您。 诸如Apache Shiro之类的安全报告有助于理解这一点。
另外:我建议您为您的 Java 项目查看 Maven 或 Gradle。 这将消除一些需要担心这些类型的依赖管理问题,因为可选的依赖默认不包含在依赖层次结构中。
如何使用 activemq.jar 依赖项编译和运行多个类?
[英]How to compile and run multiple classes with an activemq.jar dependency?
如何在具有更高版本 spring 的另一个 spring 项目中使用具有 spring 作为打包依赖项的 jar?
[英]How to consume a jar that has spring as a packaged dependency in another spring project with higher spring version?
如何从项目的maven依赖树中删除旧的易受攻击的Apache commons集合版本依赖项?
[英]How can I remove the old vulnerable Apache commons collection version dependency from my project's maven dependency tree?
如何从activemq-all maven依赖项中排除包含StaticLoggerBinder的jar?
[英]How to exclude jar that contains StaticLoggerBinder from activemq-all maven dependency?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
从罐子中获取ActiveMQ版本
如何禁用 ActiveMQ 客户端 jar 依赖项
如何使用 activemq.jar 依赖项编译和运行多个类?
如何在具有更高版本 spring 的另一个 spring 项目中使用具有 spring 作为打包依赖项的 jar?
罐子大小的番石榴依赖 - 有一个小版本?
为什么Maven为依赖项jar下载了一个较短的版本?
如何从项目的maven依赖树中删除旧的易受攻击的Apache commons集合版本依赖项?
查找哪个依赖项罐具有必需的类
Maven 依赖项中未显示 Prisma 易受攻击的依赖项:树
如何从activemq-all maven依赖项中排除包含StaticLoggerBinder的jar?
相关标签