apache hive-jdbc jar 的替代方案

Question

我正在使用 apache hive-jdbc (https://mvnrepository.com/artifact/ org.apache.hive/hive-jdbc) jar 在我的应用程序中。

当运行 Snyk 工具扫描时，我发现其中存在许多漏洞。

我已经在使用最新版本的 hive-jdbc (3.1.2)，因此没有选项升级它来消除漏洞。

该版本 3.1.2 于 2019 年 8 月发布，因此它有许多内部依赖项，这些依赖项相当旧且存在漏洞。

所以我正在寻找 Maven 存储库中的任何替代 jar，以便我可以摆脱这些漏洞。

任何建议将不胜感激。

谢谢 马亨德拉

Answer 1

寻找资源的请求是题外话，所以我不会解决这个问题。

^{（尽管我怀疑如果您在 Maven Central 中搜索没有找到更好的 JAR 发布版本，那么这个版本还不存在……）}

如有任何建议，我们将不胜感激。

我的建议是：

1. 在 Apache Hive 项目的问题跟踪器中提出问题，以发布更新了不安全依赖项的新版本。

2. 从源存储库下载相关组件，更新 POM 中的依赖项，然后在本地构建。然后在项目中使用您构建的组件。

3. 将显式依赖项添加到 POM 以获得传递依赖项的安全版本。如果我理解正确，这将使用您指定的版本覆盖传递发现的版本。

   您应该能够通过检查 Maven 构建将哪些 JAR 文件版本打包到您的 WAR 文件中来确认这是否有效。

#1 应该产生一个长期的解决方案。 #2 和 #3 是短期解决方法...直到 Apache Hive 团队发布具有更新依赖项的版本。