工具的项目依赖（alpha）版本需要升级maven-core吗？

Question

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，这似乎受到了 CVE-2021-26291 的影响

这对tools.deps.alpha或Clojure命令行工具的用户来说是否是一个风险？是否需要升级到引用的版本？

Answer 1

我有一个评估更改并更新的jirahttps://clojure.atlassian.net/browse/TDEPS-178，但我还没有机会进行评估。

tools.deps在Maven之上添加了一些额外的东西，并默认使用https仓库作为前两个仓库检查Maven Central和Clojars。然而，tools.deps在transitive deps.edn文件中不使用Maven仓库，但在解析pom模型的pom-based Maven依赖项时可能使用Maven仓库。

Comments

谢谢。我会注意这个票证的。

---

今天发布了一个Clojure CLI 1.10.3.849的预发布版本，其中包含这次升级以供评估。

---

在本地清理了m2和gitlibs，升级到这个版本，并且它的功能似乎一切正常。尽管我依赖于几个自定义仓库，但由于它们都是https，我没有遇到任何问题。感谢你快速行动。

---

现在已作为稳定版本发布