工具的依赖管理器 alpha 是否需要提高 maven-core 版本？

Question

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，这似乎受到 CVE-2021-26291 的影响。

这对于 tools.deps.alpha 或 Clojure 命令行工具的用户是否有风险？提高引用版本有意义吗？

Answer 1

我有一个 jira https://clojure.atlassian.net/browse/TDEPS-178 提交给评估更改并更新，但我还没有机会评估。

tools.deps 在 Maven 上层了一些额外的功能，并默认设置为使用 https 存储库作为前两个可检查的存储库，即 Maven Central 和 Clojars。tools.deps 不使用 transitive deps.edn 文件中的 Maven 存储库，但在解析 pom 模型时可能会使用基于 pom 的 Maven 依赖关系的 Maven 存储库。

Comments

谢谢。我会关注这个工单。

---

今天发布了Clojure CLI 1.10.3.849的预发布版，其中包括这个升级以供评估。

---

我在本地清除了m2和gitlibs，升级到这个版本，并且看起来它正在做其工作。虽然我依赖于一些自定义仓库，但因为是https，我没有遇到任何问题。感谢您的快速行动。

---

现在已作为稳定版本发布