首页 > 其他分享 >第三方JAR包升级+snyk的基本使用

第三方JAR包升级+snyk的基本使用

时间:2024-11-08 18:18:28浏览次数:5  
标签:xml 依赖 resource JAR locator osgi snyk 第三方

1.使用snyk对第三方JAR包进行扫描(需要先安装snyk);

2.按住windows+r输入cmd进入命令控制行;

3.使用snyk进行扫描,cd进入包含pom.xml文件的目录下

ps:将 /path/to/xmlsec-1.5.6.jar 替换为实际的文件路径。

cd /d cd /path/to/your/project

4.对整个pom.xml扫描的命令

snyk test --print-deps > snyk-vulnerabilities.txt

注:这个代码会生成一个包含依赖项列表、已知安全漏洞以及建议的修复方法的文本报告

类似于这种

当然了,还可以生成HTML形式的

snyk test --html > snyk-vulnerabilities.html

5.根据这个文档里面的内容就可以对pom.xml里面的依赖进行升级;

注:建议不能直接升级的依赖不要升级,可以会因为兼容性问题报错,后面找会很麻烦;

第二部分:我的任务是需要在某个依赖里面排除一些依赖项

1.这个问题我一开始没有很好的方法,就是在cmd窗口生成依赖树,然后看哪些依赖引入了,在这个依赖里面进行排除;具体需要排除什么直接替换;

<dependency>
    <groupId>依赖项的groupId</groupId>
    <artifactId>依赖项的artifactId</artifactId>
    <version>依赖项的版本</version>
    <exclusions>
        <exclusion>
            <groupId>com.io7m.xom</groupId>
            <artifactId>xom</artifactId>
        </exclusion>
    </exclusions>
</dependency>

2.直接生成的内容很杂很乱,不好排查。我摸索到下面这个方法:

如果我们需要排除的是 osgi-resource-locator这个依赖项

  2.1直接在cmd中输入下面这行命令,即可得到与osgi-resource-locator相关的依赖树,不会得到其他的依赖内容,相对简洁;

mvn dependency:tree -Dincludes=org.osgi:org.osgi.resource-locator

  2.2根据得到的依赖树对pom.xml进行定向的依赖排除,下面这个是你排除完进行检测的命令

mvn dependency:tree | findstr osgi-resource-locator

等它检索完毕即可,如果没有排除完,会显示出相关的依赖路径;反正则什么都不会显示;

3.这些就是我在依赖升级方面的一些问题,供我自己学习,希望也能帮助到你们。

ps:持续更新这个..

标签:xml,依赖,resource,JAR,locator,osgi,snyk,第三方
From: https://blog.csdn.net/weixin_56882678/article/details/143630889

相关文章

  • 云服务器Linux部署war、jar包,并在nginx配置域名
    一,打包Jar包        一个Springboot项目默认打包jar包,无需修改配置,点击右侧Maven-Lifecycle-package打包即可注意:需要先检查pom.xml文件,可能此时打包完的jar包会出现        nomainmanifestattribute,intest-0.0.1-SNAPSHOT.jar        xx......
  • 打靶记录-Jarbas
    靶机下载vulnhub->Jarbas确定靶机nmap-sn192.168.52.0/24靶机ip:192.168.52.130扫描全端口开放情况nmap-sT192.168.52.130-p--oA./ports详细扫开放的端口nmap-sT-sC-sV-O192.168.52.130-p22,80,3306,8080-oA./details扫udp端口开放nmap-sU--top-po......
  • PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
    ​题目来源:JarvisOJ https://www.jarvisoj.com/challenges题目名称:Level0题目介绍:属于栈溢出中的ret2text意思是Returntotext当程序中有可利用的危险函数控制程序的返回地址到原本的函数实现溢出利用 基础过程(看个人习惯):运行程序查看程序流程file查看文件内存......
  • winring0.sys 是一个系统驱动程序文件,它通常与第三方工具或软件一起使用,主要用于访问
    winring0.sys是一个系统驱动程序文件,它通常与第三方工具或软件一起使用,主要用于访问系统硬件信息和提供低级别硬件控制。这些工具或软件可能需要与操作系统的内核进行交互,或者获取系统的底层信息,而winring0.sys驱动程序就起到了桥梁的作用,允许这些程序进行底层硬件操作。下面是......
  • Android反编译:使用dex2jar查看dex文件
    APK解压之后,其中一个文件是dex。怎么查看呢?使用dex2jar。 下载解压GitHub-pxb1988/dex2jar:Toolstoworkwithandroid.dexandjava.classfiles https://github.com/pxb1988/dex2jar/releases 下载后解压,目录为dex-tools-2.1 操作把从apk中解压的dex复制到d......
  • Python酷库之旅-第三方库Pandas(192)
    目录一、用法精讲891、pandas.Index.nunique方法891-1、语法891-2、参数891-3、功能891-4、返回值891-5、说明891-6、用法891-6-1、数据准备891-6-2、代码示例891-6-3、结果输出892、pandas.Index.value_counts方法892-1、语法892-2、参数892-3、功能892-4、返......
  • EXE4J 将jar包转为exe
     如何添加构建jar包:https://www.cnblogs.com/ychun/p/18528326 1、 2、 3、4、   5、 6、  7、输出:  参考:https://blog.csdn.net/lisainan66/article/details/136272116......
  • Linux配置定时任务,定时(每分钟)查看jar是否运行,没有运行则重新启动
    Linux配置定时任务,定时(每分钟)查看jar是否运行,没有运行则重新启动部署在Linux服务器上的服务,有时会因为其他原因(如内存溢出,误杀)导致服务被kill了,影响业务的正常运行。为避免这类问题发生,需要配置监控(定时查询服务是否还在运行中),当发现服务被kill掉了,则重新启动!1、准备工作Jav......
  • 一款开源简洁高颜值的酷狗第三方客户端V1.0.0 Beta
    MoeKoeMusic前言早在10年前后的样子,那会在用网页版QQ的时候我就已经开始使用酷狗音乐了(也是十来年的老粉了),所以这些年收藏的歌曲全部都在上面.后来我也尝试开始使用网易云或QQ音乐,也尝试把酷狗的歌单导入进去,但是效果都不尽人意.我听的大多是日漫OP,好多歌曲都没办法......
  • Chromium127编译指南 Linux篇 - 同步第三方库以及Hooks(六)
    引言在成功克隆Chromium源代码仓库并建立新分支之后,配置开发环境成为至关重要的下一步。这一过程涉及获取必要的第三方依赖库以及设置钩子(hooks),这些步骤对于确保后续的编译和开发工作能够顺利进行起着决定性作用。本指南旨在详细阐述这些配置步骤的执行方法,为开发者提供清晰......