我的应用程序使用 Maven 构建,它的依赖项包括 LibA 和 LibB。它们又依赖于同一个库 com.thoughtworks.xstream:xstream,但 LibA 依赖于 1.4.16 版本,而 LibB 依赖于 1.4.8。当我运行时mvn dependency:tree,我可以看到只有 1.4.16 版本正在使用,当我解压缩构建的 JAR 文件时,我看到只有 xstream-1.4.16.jar 存在。但是 Xray 报告说我的应用程序存在安全问题,因为它通过 LibB 依赖于 xstream 版本 1.4.8。
有没有其他人遇到过这种行为?有没有办法让 Xray 意识到我们的二进制文件与旧的 1.4.8 版本无关?