当前位置：首页 > news >正文

Provides transitive vulnerable dependency maven 提示依赖存在漏洞问题的解决方法

news 2026/2/11 6:13:07

问题描述

如下图所示，对于 java 项目某些依赖，IDEA 提示，引用了含有漏洞的依赖。如果是单个依赖，可以考虑直接升级版本即可。但是对于传递性依赖，比如 flink 项目中，依赖的部分模块，它们自己依赖了一些含有漏洞的依赖，应该如何解决呢？（现实开发环境更新flink版本往往会带来非常多的麻烦和较大的风险）

在这里插入图片描述

解决方法

根据提示，找到提示包含漏洞的依赖包，然后前往 https://mvnrepository.com/ 搜索最新的依赖包。注意一定要查询一下是否兼容。

步骤 1：使用 exclusion 排除有漏洞的依赖

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>cn.smileyan</groupId><artifactId>hello-flink-1.18</artifactId><version>1.0-SNAPSHOT</version><properties><maven.compiler.source>11</maven.compiler.source><maven.compiler.target>11</maven.compiler.target><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><flink.version>1.18.1</flink.version></properties><dependencies><dependency><groupId>org.apache.flink</groupId><artifactId>flink-clients</artifactId><version>${flink.version}</version><scope>provided</scope><!-- 解决传递性依赖 vulnerable 问题 --><exclusions><exclusion><groupId>commons-io</groupId><artifactId>commons-io</artifactId></exclusion><exclusion><groupId>org.apache.commons</groupId><artifactId>commons-compress</artifactId></exclusion></exclusions></dependency><!-- 解决传递性依赖 vulnerable 问题 --><dependency><groupId>commons-io</groupId><artifactId>commons-io</artifactId><version>2.18.0</version><scope>provided</scope></dependency><dependency><groupId>org.apache.commons</groupId><artifactId>commons-compress</artifactId><version>1.27.1</version><scope>provided</scope></dependency></dependencies>
</project>

更新后，记得重新加载 maven 依赖。

Step 2：修改 flink 环境

如果设置线上的 flink 环境，建议上传无漏洞版本的依赖到 flink-1.18.1/lib 目录下。flink 在启动任务的时候，将会自动优先加载这个目录下的依赖，而不是加载默认的以前的老版本依赖。

Notice`：如果不能修改 flink 环境（更推荐）

即使用新的无漏洞版本的依赖，并且 scope 去除 provided ，如下图所示：
在这里插入图片描述
这里还有一个地方需要注意，添加打包插件（在 project 级别下添加）

<build><plugins><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-shade-plugin</artifactId><version>3.6.0</version><executions><execution><phase>package</phase><goals><goal>shade</goal></goals></execution></executions><configuration><createDependencyReducedPom>false</createDependencyReducedPom><!-- 根据实际情况设置是否 minimizeJar -->
<!--                    <minimizeJar>true</minimizeJar>--></configuration></plugin></plugins>
</build>

总结

之前写了篇博客 rovides transitive vulnerable dependency maven:commons-collections 有两位小伙伴评论，认为博客中提到的解决方案是 “掩耳盗铃”。哈哈哈哈，当时能想到的仅仅是这样了。

多谢那两位小伙伴的提醒，多谢多谢 @zyfhongyang @zhongyilangren

通过本文提到的方法，可以较好的解决 “传递性依赖存在漏洞” 的解决方法，并且针对于 flink 应用，这里根据能否编辑 flink 环境给出了两个解决方案以供选择。

希望能帮到各位小伙伴 ~ 万分感谢各位的点赞、评论与关注支持 ~

在这里插入图片描述

Provides transitive vulnerable dependency maven 提示依赖存在漏洞问题的解决方法

问题描述

解决方法

步骤 1：使用 exclusion 排除有漏洞的依赖

Step 2：修改 flink 环境

Notice`：如果不能修改 flink 环境（更推荐）

总结

相关文章：

Provides transitive vulnerable dependency maven 提示依赖存在漏洞问题的解决方法

WebAuthn 项目常见问题解决方案

LeetCode 844. 比较含退格的字符串 (C++实现)

Python8-写一些小作业

C++ STL vector基本原理和用法

【计算机视觉基础CV-图像分类】05 - 深入解析ResNet与GoogLeNet：从基础理论到实际应用

【人工智能-初级】基于用户的协同过滤推荐算法

如何识别钓鱼邮件和诈骗网站？（附网络安全意识培训PPT资料）

Rust 在前端基建中的使用

【人工智能】基于Python和OpenCV实现实时人脸识别系统：从基础到应用

Python 自动化打开网站填表登陆例子

【Chrome】浏览器提示警告Chrome is moving towards a new experience

网络下载ts流媒体

iDP3复现代码模型训练全流程（一）——train_policy.sh

重温设计模式--单例模式

【人工智能】Python中的机器学习管道：如何用scikit-learn构建高效的ML管道

Redis存在安全漏洞

Scala图书管理系统

【数据可视化案列】白葡萄酒质量数据的EDA可视化分析

Postman接口测试：全局变量/接口关联/加密/解密

使用van-uploader 的UI组件，结合vue2如何实现图片上传组件的封装

Nginx server_name 配置说明

HBuilderX安装（uni-app和小程序开发）

解决本地部署 SmolVLM2 大语言模型运行 flash-attn 报错

06 Deep learning神经网络编程基础激活函数 --吴恩达

【论文阅读28】-CNN-BiLSTM-Attention-（2024）

vue3+vite项目中使用.env文件环境变量方法

解读《网络安全法》最新修订，把握网络安全新趋势

永磁同步电机无速度算法--基于卡尔曼滤波器的滑模观测器

c# 局部函数定义、功能与示例