Provides transitive vulnerable dependency maven 提示依赖存在漏洞问题的解决方法

问题描述

如下图所示，对于 java 项目某些依赖，IDEA 提示，引用了含有漏洞的依赖。如果是单个依赖，可以考虑直接升级版本即可。但是对于传递性依赖，比如 flink 项目中，依赖的部分模块，它们自己依赖了一些含有漏洞的依赖，应该如何解决呢 ？（现实开发环境更新flink版本往往会带来非常多的麻烦和较大的风险）

解决方法

根据提示，找到提示包含漏洞的依赖包，然后前往 https://mvnrepository.com/ 搜索最新的依赖包。注意一定要查询一下是否兼容。

步骤 1：使用 exclusion 排除有漏洞的依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>cn.smileyan</groupId><artifactId>hello-flink-1.18</artifactId><version>1.0-SNAPSHOT</version><properties><maven.compiler.source>11</maven.compiler.source><maven.compiler.target>11</maven.compiler.target><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><flink.version>1.18.1</flink.version></properties><dependencies><dependency><groupId>org.apache.flink</groupId><artifactId>flink-clients</artifactId><version>${flink.version}</version><scope>provided</scope><!-- 解决传递性依赖 vulnerable 问题 --><exclusions><exclusion><groupId>commons-io</groupId><artifactId>commons-io</artifactId></exclusion><exclusion><groupId>org.apache.commons</groupId><artifactId>commons-compress</artifactId></exclusion></exclusions></dependency><!-- 解决传递性依赖 vulnerable 问题 --><dependency><groupId>commons-io</groupId><artifactId>commons-io</artifactId><version>2.18.0</version><scope>provided</scope></dependency><dependency><groupId>org.apache.commons</groupId><artifactId>commons-compress</artifactId><version>1.27.1</version><scope>provided</scope></dependency></dependencies>
</project>

更新后，记得重新加载 maven 依赖。

Step 2：修改 flink 环境

如果设置线上的 flink 环境，建议上传无漏洞版本的依赖到 flink-1.18.1/lib 目录下。flink 在启动任务的时候，将会自动优先加载 这个目录下的依赖，而不是加载默认的以前的老版本依赖。

Notice`：如果不能修改 flink 环境（更推荐）

即使用新的无漏洞版本的依赖，并且 scope 去除 provided ，如下图所示：

这里还有一个地方需要注意，添加打包插件（在 project 级别下添加）

<build><plugins><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-shade-plugin</artifactId><version>3.6.0</version><executions><execution><phase>package</phase><goals><goal>shade</goal></goals></execution></executions><configuration><createDependencyReducedPom>false</createDependencyReducedPom><!-- 根据实际情况设置是否 minimizeJar -->
<!--                    <minimizeJar>true</minimizeJar>--></configuration></plugin></plugins>
</build>

总结

之前写了篇博客 rovides transitive vulnerable dependency maven:commons-collections 有两位小伙伴评论，认为博客中提到的解决方案是 “掩耳盗铃”。哈哈哈哈，当时能想到的仅仅是这样了。

多谢那两位小伙伴的提醒，多谢多谢 @zyfhongyang @zhongyilangren

通过本文提到的方法，可以较好的解决 “传递性依赖存在漏洞” 的解决方法，并且针对于 flink 应用，这里根据能否编辑 flink 环境给出了两个解决方案以供选择。

希望能帮到各位小伙伴 ~ 万分感谢各位的点赞、评论与关注支持 ~