我目前正在做一个使用axiom-api 1.4作为依赖的项目。在一次安全审计中,发现axiom-api依赖于一个内部依赖项,特别是apache-mime 4j-core版本0.8.6,该版本存在已知漏洞。不幸的是,目前还没有一个可用的axiom-api版本可以使用mime 4j的最新安全版本。
我正在寻求有关如何在不影响项目功能的情况下解决这一安全问题的建议。是否有任何变通方法、最佳实践或替代方法可以用来缓解apache-mime 4j-core 0.8.6依赖中的漏洞,同时仍然使用axiom-api 1.4?
任何关于如何有效处理这种情况的见解或建议将不胜感激。提前感谢您的帮助!
1条答案
按热度按时间qv7cva1a1#
在主分支上,以下提交将MIME 4J依赖项从0.8.6更新为0.8.9:
正如您所看到的,这些升级都不需要对Axiom代码进行任何更改(从0.8.7升级到0.8.8需要在OSGi测试中进行一些小更改,但这不会影响Axiom和MIME4J之间的兼容性)。因此,在继续使用Axiom 1.4的同时,您应该能够简单地更新MIME4J依赖项。