Jak zaktualizować "spring-data-mongodb" z uwagi na znalezione podatności?

0

Podbijam biblioteki w jednej z aplikacji i mam problem. Przykładowo podbiłem wersję spring-boot-starter-data-mongodb to wersji 2.6.0 i w drzewie zależności
widzę:

[INFO] |  \- org.springframework.boot:spring-boot-starter-data-mongodb:jar:2.6.0:compile
[INFO] |     +- org.mongodb:mongodb-driver-sync:jar:4.2.3:compile
[INFO] |     |  +- org.mongodb:bson:jar:4.2.3:compile
[INFO] |     |  \- org.mongodb:mongodb-driver-core:jar:4.2.3:compile
[INFO] |     \- org.springframework.data:spring-data-mongodb:jar:3.2.12:compile
[INFO] |        +- org.springframework:spring-tx:jar:5.3.18:compile
[INFO] |        \- org.springframework.data:spring-data-commons:jar:2.5.12:compile

spring-data-mongodb:jar:3.2.12:compile - wersja 3.2.12 a widzę w pomie, że spring-boot-starter-data-mongodb zależy
od wyższej wersji tj. 3.3.0 https://repo1.maven.org/maven2/org/springframework/boot/spring-boot-starter-data-mongodb/2.6.0/spring-boot-starter-data-mongodb-2.6.0.pom.

Czym to może być spowodowane? Potrzebuję podbić spring-data-mongodb do wyższej wersji z uwagi na podatności.

0

Może masz gdzieś w swoim pomie bezpośrednio dodaną tę zależność org.springframework.data:spring-data-mongodb:jar:3.2.1?

Btw Wersja 3.3.0 nadal ma w sobie podatności:
https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-data-mongodb/2.6.0
może lepiej byłoby wziąć jeszcze wyższą wersję startera?

0
Pinek napisał(a):

Może masz gdzieś w swoim pomie bezpośrednio dodaną tę zależność org.springframework.data:spring-data-mongodb:jar:3.2.1?

Właśnie nie mam bezpośrednio dlatego zdziwiłem się skąd on bierze tę zależność. Rozwiązałem to póki co w taki sposób, że w parent pomie w dependencyManagement dałem:

    <dependencyManagement>
        <dependencies>

            <dependency>
                <groupId>org.springframework.data</groupId>
                <artifactId>spring-data-mongodb</artifactId>
                <version>3.3.5</version>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-data-mongodb</artifactId>
                <version>2.5.15</version>
                <exclusions>
                    <exclusion>
                        <groupId>org.springframework.data</groupId>
                        <artifactId>spring-data-mongodb</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>

czyli wersja startera jaka była i podbiłem tylko transytywną zależność z podatnością.
W child pomach tam gdzie to jest używane daję:

        <dependency>
            <groupId>org.springframework.data</groupId>
            <artifactId>spring-data-mongodb</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-mongodb</artifactId>
        </dependency>
1

@lukascode: Analizowałeś odwrotne zależności? Tzn. to co zaciąga tę problematyczną wersję?

>mvn dependency:tree -Dincludes=moduł...

Inna rzecz, która przychodzi mi do głowy to wyczyścić cache .m2 i zobaczyć czy coś się zmieniło w zależnościach.

0
yarel napisał(a):

@lukascode: Analizowałeś odwrotne zależności? Tzn. to co zaciąga tę problematyczną wersję?

>mvn dependency:tree -Dincludes=moduł...

Inna rzecz, która przychodzi mi do głowy to wyczyścić cache .m2 i zobaczyć czy coś się zmieniło w zależnościach.

Dzięki nie analizowałem zerknę.
Wyczyścić cache .m2 w sensie całe lokalne repo?

1 użytkowników online, w tym zalogowanych: 0, gości: 1