Блог

Главная - Вопросы по программированию - Проверка Blackduck, показывающая ФАЙЛ, ИЗМЕНЕННЫЙ с помощью более старой версии Jetty Http

Проверка Blackduck, показывающая ФАЙЛ, ИЗМЕНЕННЫЙ с помощью более старой версии Jetty Http

#maven #security #jetty

#maven #Безопасность #jetty

Вопрос:

У нас есть один модуль, который мы создаем в maven как исполняемый файл jar, используя строку с запятой, используя spring-boot-maven-plugin с версией 2.1.0.ОТПУСТИТЕ, передав goal как repackage, классифицируйте как one-jar и также настроили MainClass.

В моем pom.xml код файла показан как показано ниже:

 <plugin>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-maven-plugin</artifactId>
    <version>2.1.0.RELEASE</version>
    <executions>
        <execution>
            <goals>
                <goal>repackage</goal>
            </goals>
            <configuration>
                <classifier>spring-boot</classifier>
                <mainClass>
                  ------------
                </mainClass>
            </configuration>
        </execution>
    </executions>
</plugin>

---

<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-http</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-security</artifactId>
  <version>9.4.33.v20201020</version>
</dependency>
---

и наш модуль содержит связанные с org.eclipse.jetty зависимости, настроенные на версию 9.4.33.v20201020. Когда мы настроили сканирование Blackduck для этого файла jar модуля, сканирование выбирает некоторые из более старых версий jetty.
Например, для зависимостей jetty-http и jetty-security выбирается 9.4.31.v20200723, который также отображается как ИЗМЕНЕННЫЙ ФАЙЛ вместе с 9.4.33.v20201020.

Поскольку я перекрестно проверил все репозиторий maven для версии 9.4.31.v20200723, я не нашел никаких зависимостей jetty для этой версии. Все еще сканирование Blackduck, показывающее более старые версии jetty как ИЗМЕНЕННЫЙ ФАЙЛ.

Кто-нибудь может помочь мне понять, что такое тип соответствия ИЗМЕНЕННОГО файла в Blackduck и как решить эту проблему.

Ответ №1:

Из https://testing.blackduck.synopsys.com/doc/internal_project_versions/understanding_project_version_bom_information.htm

Файлы изменены. Сканирование выявило нечеткое совпадение с компонентом в Black Duck KB, где были изменены некоторые архивные файлы. Иногда это совпадение с предыдущей или последующей версией компонента, которая, возможно, отсутствовала в КБ Black Duck на момент сопоставления.

Похоже, ваша база данных blackduck устарела и не имеет ссылок на эти новые версии Jetty.

Комментарии:

1. Как решить проблему, нужно ли нам что-либо менять на стороне blackduck или мы можем решить это со стороны кода? Поскольку я перепробовал много способов, таких как неотмеченные старые сканы, удалил все старые сканы, даже создал новую ветку и запустил сканирование, попытался использовать диапазон версий и предоставил область также в pox.xml , и перепробовал все возможные комбинации плагинов для исключения, обратившись к некоторым техническим блогам.

2. Это может быть решено только самими BlackDuck. Им необходимо обновить свою базу данных.

3. @SrinivasDasari Вы нашли какое-либо решение по этому вопросу? Я сталкиваюсь с такой же проблемой для версии Gradle 4.10. («gradle-wrapper.jar ‘)