tools.deps.alpha 是否需要提升 maven-core?

Question 1

tools.deps.alpha 0.11.918 使用 maven-core 3.6.3，这似乎受到 CVE-2021-26291 的影响

这对 tools.deps.alpha 或 Clojure 命令行工具的用户是否存在风险？提升引用版本是否有意义？

Question 2

我已有一个https://clojure.atlassian.net/browse/TDEPS-178 的 jira，以评估变更并更新，但尚未有时间评估。

tools.deps 在 Maven 上添加了一些额外的功能，并硬编码为默认使用 https 仓库对 Maven Central 和 Clojars 进行检查。尽管如此，它在 transitive deps.edn 文件中不使用 Maven 仓库，但当解析 pom 模型时可能会使用基于 pom 的 Maven 依赖的 Maven 仓库。

Question 3

谢谢。我会关注这个工单。

Question 4

今天发布了Clojure CLI 1.10.3.849的预发布版，其中包括这次升级以供评估。

Question 5

我在本地删除了m2和gitlibs，升级到这个版本，似乎一切正常运行。我依赖一些自定义仓库，但它们都是HTTPS的，我没有遇到任何问题。谢谢您的快速反应。

Question 6

现在作为稳定版本发布

alexmiller · Answer 1 · 2021-05-20T13:37:58+0000

我已有一个https://clojure.atlassian.net/browse/TDEPS-178 的 jira，以评估变更并更新，但尚未有时间评估。

tools.deps 在 Maven 上添加了一些额外的功能，并硬编码为默认使用 https 仓库对 Maven Central 和 Clojars 进行检查。尽管如此，它在 transitive deps.edn 文件中不使用 Maven 仓库，但当解析 pom 模型时可能会使用基于 pom 的 Maven 依赖的 Maven 仓库。

今天发布了Clojure CLI 1.10.3.849的预发布版，其中包括这次升级以供评估。 — alexmiller, 2021年5月20日
我在本地删除了m2和gitlibs，升级到这个版本，似乎一切正常运行。我依赖一些自定义仓库，但它们都是HTTPS的，我没有遇到任何问题。谢谢您的快速反应。 — Imre Kószó, 2021年5月21日

请分享你的想法，参加 2024 年 Clojure 状态调查！

tools.deps.alpha 是否需要提升 maven-core?

请登录或注册以添加评论。

请登录或注册以回答此问题。

1 答案

请登录或注册以添加评论。

分类

请分享你的想法，参加 2024 年 Clojure 状态调查！

tools.deps.alpha 是否需要提升 maven-core?

请 登录 或 注册 以添加评论。

请 登录 或 注册 以回答此问题。

1 答案

请 登录 或 注册 以添加评论。

相关问题

分类

请登录或注册以添加评论。

请登录或注册以回答此问题。

请登录或注册以添加评论。