1. 警告
SpringBoot 的 validation 依赖包含有易受攻击的依赖 snakeyaml。
警告信息如下:
Provides transitive vulnerable dependency maven:org.yaml:snakeyaml:1.30
意思是:提供了可传递的易受攻击依赖 maven:org.yaml:snakeyaml:1.30
2. 警告示例
3. 解决方案
使用 dependencyManagement ,将所有的 snakeyaml 统一改成没有隐患的版本。
<dependencyManagement><dependencies><dependency><groupId>org.yaml</groupId><artifactId>snakeyaml</artifactId><version>2.0</version></dependency></dependencies></dependencyManagement>
4. Maven仓库查询寻找没有隐患的snakeyaml版本
