我spring-cloud-cloudfoundry-connector-2.0.7.RELEASE.jar在一个项目中使用,该项目是用com.fasterxml.jackson.core:jackson-databind:2.10.0文件作为影子 JAR 构建的(即文件包含在spring-cloud-cloudfoundry-connectorJAR 中,而不仅仅是一个依赖项。
问题是,jackson-databind2.10.0 现在有已知的安全问题,但没有更新版本的 Spring 库带有修补的 Jackson 文件。所以,我需要做的是使用现有的 Spring 库但更新的 Jackson 库。如果它是一个正常的依赖,那就很容易了,但显然这些文件不能从 Spring 库中删除。
因此,有任何方法可以强制 Maven 忽略嵌入的 Jackson 类,而只使用较新的 Jackson 库(它已经包含在我的主项目中)。
Gradle 构建文件(以及 Spring 项目的其余部分)可以在此处找到:https://github.com/spring-cloud/spring-cloud-connectors/blob/master/spring-cloud-cloudfoundry-connector/build。毕业典礼