Azure-sdk-for-java: [FEATURE REQ] المستند الذي تعتبر تبعيات هوية اللازور اختيارية

تم إنشاؤها على ٢١ يناير ٢٠٢١  ·  4تعليقات  ·  مصدر: Azure/azure-sdk-for-java

هل طلب الميزة الخاص بك متعلق بمشكلة؟
تحتوي الأداة azure-identity على بعض التبعيات التي لن تُستخدم عادةً إلا في وقت الإنشاء. على سبيل المثال ، هناك تبعية على org.linguafranca.pwdb:KeePassJava2 والتي يتم استخدامها بواسطة تطبيق IntelliJCredential . لنشر الإنتاج لدينا ، لا نريد سحب هذه التبعية. أحد الأسباب هو أنه يعتمد بشكل انتقالي على org.simpleframework:simple-xml:jar:2.7.1 الذي يحتوي على CVE (انظر https://nvd.nist.gov/vuln/detail/CVE-2017-1000190). لكنه يسحب أيضًا بعض التبعيات الأخرى ذات الوزن الثقيل.

قد يكون الأمر نفسه صحيحًا بالنسبة لعمليات التنفيذ الأخرى مثل VisualStudioCodeCredential .

صِف الحل الذي تريده
على الأقل ، أود أن تصف الوثائق أي التبعيات مرتبطة فقط بميزات معينة غير أساسية (على سبيل المثال IntelliJCredential ) وأنه من الآمن استبعادها إذا لم تكن هذه الميزة مطلوبة. كما يجب توثيق كيفية استبعاد التبعيات.

صِف البدائل التي فكرت فيها
قد تكون البدائل هي إعلان التبعيات على أنها اختيارية والوثيقة التي يجب أن يقدمها تطبيق العميل.

هناك إمكانية أخرى تتمثل في توفير مصنوعات Maven المنفصلة لحالات الاستخدام المختلفة.

قائمة التحقق من المعلومات
يرجى التأكد من أنك قد أضفت جميع المعلومات التالية أعلاه وتحقق من الحقول المطلوبة وإلا فسوف نتعامل مع المصدر على أنه تقرير غير مكتمل

  • [x] تمت إضافة الوصف
  • [x] تم تحديد الحل المتوقع
Azure.Identity Client Docs customer-reported question
مصدر
picture knutwannheden
👍1

ال 4 كومينتر

شكرًا لإيداع هذه المشكلةknutwannheden. يمكننا تحسين التوثيق لجعل التبعيات الاختيارية أكثر وضوحًا. @ g2vinay هل يمكنك المتابعة من فضلك؟

joshfree picture joshfree في ٢٦ يناير ٢٠٢١
👍1

AFAICT لا يتم الإعلان عن التبعيات على أنها اختيارية في وحدة Maven ، لذلك ربما يكون التلميح حول كيفية استبعادها باستخدام آلية Maven المقابلة أمرًا منطقيًا أيضًا.

knutwannheden picture knutwannheden في ٢٦ يناير ٢٠٢١
👍1

تم فتح هذا CVE منذ عام 2017 وحصل على درجة CVSS 9.1 CRITICAL.

يعد التوثيق المتعلق بكيفية تجنب الحصول على هذه التبعية بداية جيدة ، لكن أليس من الأفضل إصلاح المشكلة؟

jylipaa picture jylipaa في ١١ فبراير ٢٠٢١
👍1

نظرًا لاستخدام org.linguafranca.pwdb:KeePassJava2 بواسطة IntelliJCredential
تمكنا من التغلب على هذا باستخدام ManagedIdentityCredentialBuilder بدلاً من DefaultIdentityBuilder عند النشر.

janitorr picture janitorr في ١٢ فبراير ٢٠٢١
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

alzimmermsft picture alzimmermsft  ·  3تعليقات
Shabirmean picture Shabirmean  ·  3تعليقات
christopheranderson picture christopheranderson  ·  3تعليقات
algra4 picture algra4  ·  4تعليقات
abhikt48 picture abhikt48  ·  3تعليقات