tools.deps.alpha 需要提升 maven-core 版本吗？

Question 1

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，似乎受到 CVE-2021-26291 影响。

这会对 tools.deps.alpha 或 Clojure 命令行工具的用户构成风险吗？提升引用的版本有意义吗？

Question 2

我有一个 jira https://clojure.atlassian.net/browse/TDEPS-178 用于评估更改和更新，但我还没有机会评估。

tools.deps 在 Maven 之上添加了一些额外的功能，并默认使用 https 仓库作为前两个要检查的仓库。tools.deps 不会在传递依赖的 deps.edn 文件中使用 Maven 仓库，但可能在解析基于 pom 的 Maven 依赖项时使用 Maven 仓库。

Question 3

感谢。我会关注这个工单。

Question 4

今天发布了Clojure CLI 1.10.3.849的预发布版，其中包含这次升级，以供评估。

Question 5

在本地清除了m2和gitlibs，升级到这个版本，似乎正在正常工作。我确实依赖于几个自定义存储库，但由于它们都是https，我还没有遇到过任何问题。感谢快速处理。

Question 6

现在已作为稳定版本发布

alexmiller · Answer 1 · 2021-05-20T13:37:58+0000

我有一个 jira https://clojure.atlassian.net/browse/TDEPS-178 用于评估更改和更新，但我还没有机会评估。

tools.deps 在 Maven 之上添加了一些额外的功能，并默认使用 https 仓库作为前两个要检查的仓库。tools.deps 不会在传递依赖的 deps.edn 文件中使用 Maven 仓库，但可能在解析基于 pom 的 Maven 依赖项时使用 Maven 仓库。

今天发布了Clojure CLI 1.10.3.849的预发布版，其中包含这次升级，以供评估。
在本地清除了m2和gitlibs，升级到这个版本，似乎正在正常工作。我确实依赖于几个自定义存储库，但由于它们都是https，我还没有遇到过任何问题。感谢快速处理。

在 2024 Clojure 状态调查！中分享您的想法。