tools.deps.alpha 是否需要升级 maven-core？

Question 1

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，似乎受到了 CVE-2021-26291 影响

这对 tools.deps.alpha 或 Clojure 命令行工具的用户构成风险吗？升级引用的版本有意义吗？

Question 2

我有一个 jira https://clojure.atlassian.net/browse/TDEPS-178 已开放以评估更改并更新，但目前尚未有机会进行评估。

tools.deps 在 Maven 之上添加了一些附加功能，并默认使用 https 仓库作为它检查的前两个仓库。不过，tools.deps 不在 transitive deps.edn 文件中使用 Maven 仓库，然而，在解析 pom 模型时，它可能会使用基于 pom 的 Maven 仓库。

Question 3

感谢。我会留意这个工单。

Question 4

今天提前发布Clojure CLI 1.10.3.849版本，其中包含这次升级供评估。

Question 5

在国内清除了m2和gitlibs，升级到这个版本，并且看起来它在做本职工作。我依赖于一些自定义仓库，但它们都是https，所以我 hasn't experienced any blips。Thank you for the quick action.

Question 6

现在已发布为稳定版本

alexmiller · Answer 1 · 2021-05-20T13:37:58+0000

我有一个 jira https://clojure.atlassian.net/browse/TDEPS-178 已开放以评估更改并更新，但目前尚未有机会进行评估。

tools.deps 在 Maven 之上添加了一些附加功能，并默认使用 https 仓库作为它检查的前两个仓库。不过，tools.deps 不在 transitive deps.edn 文件中使用 Maven 仓库，然而，在解析 pom 模型时，它可能会使用基于 pom 的 Maven 仓库。

今天提前发布Clojure CLI 1.10.3.849版本，其中包含这次升级供评估。 — alexmiller, 5月20日
在国内清除了m2和gitlibs，升级到这个版本，并且看起来它在做本职工作。我依赖于一些自定义仓库，但它们都是https，所以我 hasn't experienced any blips。Thank you for the quick action. — Imre Kószó, 5月21日

请在 2024 年 Clojure 状况调研！中分享您的想法。