某一天将程序进行了安全漏洞扫描我擦,一堆的安全漏洞。
那么除了替换或者升级还有什么好的办法么?
我们都知道底层的架构确定好以后,想升级依赖包是很难的事情。
嘿嘿
随机呢我就想到了,我可以将源码下载下来,重新编译呀,完了提交到私服,在引用名称都变了,肯定扫描不出来对吧,一般都是名称匹配嘛。
但是很快这个方案就被否定了,为什么,太多了呀。太多太多,
那么我们得看一下,这种漏洞的依赖匹配扫描的是哪里呢?
哦~原来是 依赖包下面有 META-INF 这个文件夹,里面pom.properties,以及pom.xml,那我们删掉算了。
zip -d /Users/gaotengfei/.m2/repository/cn/tiplus/shioo/roshi-core/1.8.0.0/roshi-core-1.8.0.0.jar /META-INF/maven/org.apache.shiro/shiro-core/pom.properties
zip -d /Users/gaotengfei/.m2/repository/cn/tiplus/shioo/roshi-core/1.8.0.0/roshi-core-1.8.0.0.jar /META-INF/maven/org.apache.shiro/shiro-core/pom.xml删掉以后,我们重新外部引入pom.xml重新打包,换名字不就得了,so easy对不对。
来展示
mvn deploy:deploy-file -Dfile=*.jar -DgroupId=cn.*.shioo -DartifactId=*-web -Dversion=1.8.0 -Dpackaging=jar -DpomFile=*/pom.xml -DrepositoryId=releases -Durl=http://*/repository/releases