8.31 依赖缺陷修复 -四 团队要求
下载: https://github.com/jeremylong/DependencyCheck/releases
https://github.com/jeremylong/DependencyCheck
版本: v6.2.2
DependencyCheck说明:https://www.jianshu.com/p/3618761f9bc6
https://blog.csdn.net/liwenxiang629/article/details/109453335
wiki依赖缺陷记录: https://wiki.ispeco.com/pages/viewpage.action?pageId=99456026
http://rdc.ispeco.com/apps/mapdashboard/v2/index.html?id=250912298
http://rdc.ispeco.com/apps/mapdashboard/v2/index.html?id=2134739393
mvn install -Dmaven.test.skip=true一、sso
log4j-1.2.17.jar 升级为log4j2 需要研究
velocity-1.7.jar 属于opensaml-2.6.4.jar的子依赖 opensaml-core是opensaml3.0以上版本
##二、mk
iportal-all-9.0.0-SNAPSHOT.jar: javax.servlet.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-server.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-xml.jar
log4j-1.2.17.jar
quartz-oracle-2.1.7.jar
json-smart-2.3.jar -> json-smart-2.4.7.jar(json-path.2.6.jar)
accessors-smart-1.2.jar -> 升级父依赖json-smart-2.4.7
velocity-1.7.jar
xstream-1.4.17.jar
commons-compress-1.8.1.jar -> commons-compress-1.21.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-io.jar
jdom-1.1.jar -> jdom-2.0.6.jar(还是有问题) 升级 aliyun-sdk-oss到3.13.0
jsoup-1.10.3.jar -> gt-cql-17 升级到 201.与portal一致,暂不处理
log4j-1.2.17.jar
velocity-1.7.jar
xstream-1.4.17.jar
jdom-2.0.6.jar1.iportal-all-9.0.0
iportal-all-9.0.0-SNAPSHOT.jar: javax.servlet.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-server.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-xml.jar
iportal-all-9.0.0-SNAPSHOT.jar: jetty-io.jar
需要对大版本升级,重构时考虑升级大版本,目前只用于测试代码##三、inner
log4j-1.2.17.jar
parquet-avro-1.10.1.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-1.1.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-2.0.5.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-3.0.8.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-3.0.jar
velocity-1.7.jar
xstream-1.4.17.jar
jdom-1.1.jar
jdom2-2.0.6.jar
jsoup-1.12.1.jar###1.与portal一致
与portal一样:
log4j-1.2.17.jar
velocity-1.7.jar
xstream-1.4.17.jar
jdom2-2.0.6.jar
jsoup-1.12.1.jar###2.webjar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-1.1.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-2.0.5.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-3.0.8.jar
webjar-earth-10.0.0-20210416.052221-30.jar: plexus-utils-3.0.jar
根据以前记录,webjar为误报,不处理
1. innner、mk、sso同时:
log4j-1.2.17.jar
velocity-1.7.jar
已是最高版本,等待portal或iserver处理,再同步修改
2. innner、mk同时:
jdom-2.0.6.jar
已是最高版本,等待portal或iserver处理,再同步修改
3. innner:
webjar-earth-*.jar 误报,三维地球前端app的jar包,不处理。
4. mk:
quartz-oracle-2.1.7.jar
已是最高版本,等待portal或iserver处理,再同步修改
iportal-all-9.0.0-SNAPSHOT.jar-*
需要对大版本升级,重构时考虑升级大版本,目前只用于测试代码
____________________________________________________________
最高版本,无法升级可替换:
log4j-1.2.17.jar
最高版本,无法升级或替换,等待官方最新版本:
velocity-1.7.jar
jdom-2.0.6.jar
quartz-oracle-2.1.7.jar四、wiki文档
MK:
fastjson-1.1.41.jar→1.2.25
shiro-core-1.2.3.jar→1.5.3
slf4j-ext-1.7.5→1.8.0-beta4
jackson-databind-2.9.6.jar →2.10.0
spring-tx-4.3.13.RELEASE.jar →4.3.18.RELEASE
spring-core-4.3.13.RELEASE.jar →4.3.18.RELEASE
shiro-cas-1.3.2.jar →1.5.3
quartz-2.3.0.jar →2.3.2
hadoop-auth-2.7.3.jar → 2.8.5
commons-collections-3.2.1.jar →3.2.2
api-util-1.0.0-M20.jar → 1.0.2
2021/01/04
shiro-core-1.5.3→1.7.0
shiro-web-1.2.3 →1.7.0
commons-collections-3.2.1→3.2.2
spring-framework-4.3.8.RELEASE & 4.3.18.RELEASE →4.3.30.RELEASE
jackson-databind-2.9.6 →2.9.10.6
xstream-1.4.7 →1.4.14
commons-beanutils-1.9.3→1.9.4
opensaml-1.1→2.6.4
quartz-2.3.0→2.3.2
去掉hadoop-common,hadoop-hdfs、spark-launcher_2.11、transport等大数据、es等相关依赖及子依赖
2021/03/04
mybatis-3.2.7→3.5.6
jackson-databind-2.9.10.6→2.11.0
bcprov-jdk15on-1.65→1.61
xmlbeans-2.6.0.jar→3.1.0
shiro-core 1.7.0.jar→1.7.1
2021/07/13(评分7以上)
commons-email-1.4.jar→1.5
org.restlet-2.2.3.jar→2.4.3
org.restlet.lib.org.json-2.0.jar→去掉
poi-3.16.jar→4.1.2
2021/08/31(评分7以上)
json-smart-2.3.jar → 2.4.7
commons-compress-1.8.1.jar → 1.21
aliyun-sdk-oss-2.8.1→ 1.21
json-path-2.4.0→ 2.6.0
xstream-1.4.17→ 1.4.18
jsoup-1.12.1→ 1.14.2
gt-17→ 20
iportal-all-9.0.0-SNAPSHOT.jar: *-8.2.0.v20160908→ 9.4.43.v20210629
quartz-oracle-2.1.7.jar→ 去掉
Enterprisebilling:
tomcat-embed-core-8.5.6.jar →8.5.57
jackson-databind-2.8.5.jar → 2.9.10.5
spring-boot-1.4.3.RELEASE.jar → 1.5.22.RELEASE
slf4j-ext-1.7.25.jar → 1.8.0-beta4
logback-core-1.1.8.jar → 1.1.11
2021/01/04
tomcat-embed-core-8.5.57 → 8.5.61
jackson-databind-2.9.10.5→2.9.10.7
去掉spring-boot-admin相关依赖
2021/03/04
mybatis-3.2.7→3.5.6
jackson-databind-2.9.10.6→2.11.0
jackson-core 2.9.10 →2.11.0
mybatis-spring-boot-starter-1.3.0→1.3.2
2021/07/13(评分7以上)
fastjson-1.2.31→1.2.75
snakeyaml-1.17.jar→1.29
SSO:
commons-collections-3.1.jar → 3.2.2
2021/01/04
spring-framework-3.2.18.RELEASE→ 4.3.30.RELEASE
mysql-connector-java-5.1.35→ mariadb-java-client-2.2.6
spring.webflow-2.3.2 → 2.3.4.RELEASE
bcpprov-jdk15-1.45 → bcprov-jdk15on-1.65
org.boucycastle.quatz-1.6.1 → org.quartz-scheduler.quatz -2.3.2
c3p0-0.9.5.2 → 0.9.5.5
opensaml-1.1→2.6.4
commons-beanutils-1.9.3→1.9.4
2021/07/13(评分7以上)
fastjson-1.2.61→1.2.75
bcprov-jdk15on-1.65→1.61
jstl-1.2.jar→javax.servlet.jsp.jstl-api-1.2.2和javax.servlet.jsp.jstl-1.2.5
snakeyaml-1.17.jar→1.29(202109团队安排处理)
MK:
iportal-all-9.0.0-SNAPSHOT.jar: javax.servlet.jar 、iportal-all-9.0.0-SNAPSHOT.jar: jetty-server.jar iportal-all-9.0.0-SNAPSHOT.jar: jetty-xml.jar、 iportal-all-9.0.0-SNAPSHOT.jar: jetty-io.jar( 需要对大版本升级,重构时考虑升级大版本,目前只用于测试代码)
log4j-1.2.17.jar (漏洞描述中,SocketServer 有漏洞,只要不用这个类,就没有问题,等待portal或iserver处理,再同步修改)
quartz-oracle-2.1.7.jar (已经为最高版本,来自iportal-all,等待portal或iserver处理,再同步修改)
velocity-1.7 (最高版本,暂时屏蔽,和iportal保持一致,等待portal或iserver处理,再同步修改)
jdom-2.0.6.jar ( 最高版本,暂时屏蔽,和iportal保持一致,等待portal或iserver处理,再同步修改)
Enterprisebilling:
sso:
log4j-1.2.17.jar (漏洞描述中,SocketServer 有漏洞,只要不用这个类,就没有问题,,等待portal或iserver处理,再同步修改)
velocity-1.7 (最高版本,暂时屏蔽,和iportal保持一致,,等待portal或iserver处理,再同步修改)
online-inner:
webjar-earth-*.jar 误报,三维地球前端app的jar包,不处理。
log4j-1.2.17.jar (漏洞描述中,SocketServer 有漏洞,只要不用这个类,就没有问题,等待portal或iserver处理,再同步修改)
velocity-1.7.jar (暂时屏蔽,和iportal保持一致,等待portal或iserver处理,再同步修改)
jdom-2.0.6.jar ( 最高版本,暂时屏蔽,和iportal保持一致,等待portal或iserver处理,再同步修改)