如何处理pom文件中没有找到HUB检查到高危漏洞的依赖包

　　最近使用HUB工具检查到maven工程中存在高危险漏洞，虽然定位到具体的引用包了，但是在pom文件中却没有发现该依赖包。此时，我们就需要用到这条命令mvn dependency:tree，该命令会将maven工程所依赖的包按照树形格式展示出来，我们可以将输出内容导入到一个文本中，例如：mvn dependency:tree > jar.txt  ，输出信息类似于下图所示：

　　从上图的示例中可以看到该工程直接依赖了两个jar包，分别是com.alibaba:fastjson:jar:1.2.51和org.apache.poi:poi-examples:jar:4.0.1，但是org.apache.poi:poi-examples:jar:4.0.1包中又引用了其它的包，也就是说该工程中间接依赖了其它的包。注意了，上图中的 "+-" 和"\-"并没有什么意义，只是为了让分级看起来更加直观；当然我们可以根据缩进情况可以确定哪些包是工程直接引用的，而哪些包又是间接引用的。最近用HUB工具检查产品代码质量时发现一个高风险漏洞，但是该漏洞是在一个间接引用包中，所以在pom文件中是不能检索的到的，这是我们就需要借助上述命令了。那现在知道方法，如何处理呢？首先，看看HUB工具检查到的问题现象，如下图所示：

　

　　接着，通过mvn dependency:tree > jar.txt命令将maven工程所依赖的包关系导出，如下图所示：

　　从上面两幅图中分析可知：工程中间接用到的包commons-collections:commons-collections:jar版本是3.2.1，经过HUB工具检查，发现该版本存在高风险漏洞，需要升级到3.2.2版本，才可以解决该高危问题。此外，从上图中我们还可以知道commons-collections:commons-collections:jar:3.2.1包是在net.sf.json-lib:json-lib:jar:jdk15:2.4包中被依赖的，那么若想升级commons-collections:commons-collections:jar的版本，那么就需要升级net.sf.json-lib:json-lib:jar:jdk15版本。据此，我当时就认为只要从maven官网查看一下net.sf.json-lib:json-lib:jar:jdk15包最新的版本是多少，然后在被涂鸦的包中修改一下pom文件中依赖该包 的版本号就可以了；可结果很意外，并非我所期望。我在maven官网看到的net.sf.json-lib:json-lib:jar:jdk15包最新版本就是2.4，如下图所示：

　　既然上述的修改策略不可用，那么在被涂鸦的包中可以直接使用net.sf.json-lib:json-lib:jar:jdk15:2.4依赖包，但是不要间接使用该包中的commons-collections:commons-collections:jar:3.2.1依赖包，我们可以在涂鸦的包中直接依赖commons-collections:commons-collections:jar包。在maven官网中可以找到commons-collections:commons-collections:jar包的3.2.2版本，如下图所示：

　　最后，我们再看看maven中所依赖包的情况，如下图所示：

　　从上图中可以看出，commons-collections:commons-collections:jar:3.2.2包和net.sf.json-lib:json-lib:jar:jdk15:2.4处于同一级，都是被直接依赖的包。到此，我们的产品高危漏洞也就得到解决了。

 

 ------20191230闪🚶