java - Ehcache 2 maven 依赖

Question

在我的 pom 中我有 ehcache 2 依赖

        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache</artifactId>
            <version>${ehcache.version}</version>
        </dependency>

问题是在应用程序构建期间，我们有一个 grype 检查漏洞，它检测到这个依赖项中的几个库:

NAME              INSTALLED         FIXED-IN  VULNERABILITY        SEVERITY 
jackson-databind  2.11.1            2.12.6.1  GHSA-57j2-w4cx-62h2  High      
jersey-common     2.31              2.34      GHSA-c43q-5hpj-4crv  Medium    
jetty-server      9.4.39.v20210325  9.4.41    GHSA-m6cp-vxjx-65j6  Low

这有点令人困惑，因为库以非常奇怪的方式添加到 ehcache jar - 不像依赖项，而是扩展名为 *.class_terracotta 的文件在文件夹“rest-management-private-classpath”中显示 screenshot

由于采用这种方法，无法在 pom 文件中覆盖或排除库版本。

可能正确的方法是从 ehcache 2 迁移到 3，但这可能需要一些时间，我想知道是否有任何快速解决方案可以从 ehcache jar 中排除此库或覆盖它们的版本？

附言当我检查 ehcache 文档时，它说应该添加 pom 类型的依赖项

    <dependency>
      <groupId>net.sf.ehcache</groupId>
      <artifactId>ehcache</artifactId>
      <version>2.10.4</version>
      <type>pom</type>
    </dependency>

但是如果我在我的 pom 中将它更改为这种类型 - 缓存管理器未初始化并且我收到此错误

Error starting Tomcat context. Exception: org.springframework.beans.factory.UnsatisfiedDependencyException. Message: Error creating bean with name 'sessionRepositoryFilterRegistration' defined in class path resource [org/springframework/boot/autoconfigure/session/SessionRepositoryFilterConfiguration.class]: Unsatisfied dependency expressed through method 'sessionRepositoryFilterRegistration' parameter 1; nested exception is org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'org.springframework.boot.autoconfigure.session.JdbcSessionConfiguration$SpringBootJdbcHttpSessionConfiguration': Unsatisfied dependency expressed through method 'setTransactionManager' parameter 0; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'transactionManager' defined in class path resource [org/springframework/boot/autoconfigure/orm/jpa/HibernateJpaConfiguration.class]: Initialization of bean failed; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'entityManagerFactory' defined in class path resource [org/springframework/boot/autoconfigure/orm/jpa/HibernateJpaConfiguration.class]: 'entityManagerFactory' depends on missing bean 'cacheManager'; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No bean named 'cacheManager' available

Answer 1

有时库 Artifact 以多种方式发布。

一种方法是打包所有需要的依赖项，这样它就可以按原样使用而无需添加额外的依赖项。挑战正是您在这里观察到的 - 无法排除或更改那些嵌入式依赖项。 org.hamcrest:hamcrest-all 就是一个例子。

一些库还有一个“较轻”的版本——一个只包含特定 Artifact 的类等的版本。然后，我们可以显式添加其他依赖项以获得所需的功能 - 我们完全可以控制使用的版本等。 org.hamcrest:hamcrest-core 和 org.hamcrest:hamcrest-library 是 hamcrest-all 的部分替代品(可能需要更多依赖项获得 -all 版本提供的完整功能)。

我个人更喜欢第二种方式，因为遇到的问题很难找到和调试。

因此，这里的解决方法是查看是否有 Ehcache 版本 2 的“轻量级”版本并切换到它(以及核心功能所需的任何其他依赖项)。

如果没有，并且您绝对不能切换到版本 3，那么您可以继续使用 maven-shade-plugin重建 ehcache jar，过滤掉额外的依赖项。我强烈建议不要这样做，因为谁想在每次版本更新时重建 ehcache jar ？并且(现在损坏的)库无论如何也有可能无法正常工作。此外，它必须手动上传到团队的 Artifact 存储库，最好使用分类器或不同的组 ID 来明确这不是官方版本。如果所有这些都让您头晕目眩，那就是进行升级的一个很好的理由。 :)