tools.deps.alpha 是否需要升级 maven-core？

Question 1

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，这似乎受到 CVE-2021-26291 的影响。

这对 tools.deps.alpha 或 Clojure 命令行工具的用户存在风险吗？提升相关版本版本是否有意义？

Question 2

我已经打开了一个Jira来评估变更并更新，但还没有机会评估。

tools.deps 在 Maven 之上添加了一些额外的功能，并默认设置使用https存储库作为它检查的前两个存储库，用以Maven Central和Clojars。然而，tools.deps 不在transitive deps.edn文件中使用Maven存储库，但在解析pom模型时可能会使用基于pom的Maven依赖项的Maven存储库。

Question 3

谢谢。我会关注那个问题单。

Question 4

今天对 Clojure CLI 1.10.3.849 的预释放版本进行了更新，以便评估这次升级。

Question 5

我在本地清除了 m2 和 gitlibs，升级到这个版本，看起来它在正常工作。我依赖于一些自定义仓库，但因为是 https，所以没有遇到任何问题。感谢您迅速采取措施。

Question 6

现在已作为稳定版本发布

alexmiller · Answer 1 · 2021-05-20T13:37:58+0000

我已经打开了一个Jira来评估变更并更新，但还没有机会评估。

tools.deps 在 Maven 之上添加了一些额外的功能，并默认设置使用https存储库作为它检查的前两个存储库，用以Maven Central和Clojars。然而，tools.deps 不在transitive deps.edn文件中使用Maven存储库，但在解析pom模型时可能会使用基于pom的Maven依赖项的Maven存储库。

今天对 Clojure CLI 1.10.3.849 的预释放版本进行了更新，以便评估这次升级。 — alexmiller, 2021年5月20日
我在本地清除了 m2 和 gitlibs，升级到这个版本，看起来它在正常工作。我依赖于一些自定义仓库，但因为是 https，所以没有遇到任何问题。感谢您迅速采取措施。 — Imre Kószó, 2021年5月21日

在2024 Clojure状态调查！中分享你的想法。

tools.deps.alpha 是否需要升级 maven-core？

请登录或注册以添加评论。

请登录或注册以回答此问题。

1 个答案

请登录或注册以添加评论。

类别

在2024 Clojure状态调查！中分享你的想法。

tools.deps.alpha 是否需要升级 maven-core？

请登录或注册以添加评论。

请登录或注册以回答此问题。

1 个答案

请登录或注册以添加评论。

相关问题

类别