Azure-sdk-for-java: [FEATURE REQ] Укажите, какие зависимости azure-identity являются необязательными.

Созданный на 21 янв. 2021 · 4Комментарии · Источник: Azure/azure-sdk-for-java

Ваш запрос функции связан с проблемой?
Текущий артефакт azure-identity имеет некоторые зависимости, которые обычно используются только во время сборки. Например, существует зависимость от org.linguafranca.pwdb:KeePassJava2 которая используется реализацией IntelliJCredential . В нашем производственном развертывании мы не хотим использовать эту зависимость. Одна из причин заключается в том, что это транзитивно зависит от org.simpleframework:simple-xml:jar:2.7.1 которого есть CVE (см. Https://nvd.nist.gov/vuln/detail/CVE-2017-1000190). Но он также включает некоторые другие тяжелые зависимости.

То же самое может быть верно и для других реализаций, таких как VisualStudioCodeCredential .

Опишите желаемое решение
По крайней мере, я хотел бы, чтобы в документации описывалось, какие зависимости привязаны только к определенным несущественным функциям (например, IntelliJCredential ) и что их можно безопасно исключить, если эта функция не требуется. Также следует задокументировать, как исключить зависимости.

Опишите альтернативы, которые вы рассмотрели
Альтернативой может быть объявление зависимостей как необязательных и документирование того, что они должны предоставляться клиентским приложением.

Еще одна возможность - предоставить отдельные артефакты Maven для различных вариантов использования.

Контрольный список информации
Пожалуйста, убедитесь, что вы добавили всю следующую информацию выше, и отметьте обязательные поля, иначе мы будем рассматривать эмитента как неполный отчет.

[x] Описание добавлено
[x] Указано ожидаемое решение

Azure.Identity Client Docs customer-reported question

Источник

knutwannheden

👍1

Все 4 Комментарий

Спасибо за отправку этого вопроса @knutwannheden. Мы можем улучшить документацию, чтобы сделать дополнительные зависимости более понятными. @ g2vinay, не могли бы вы продолжить?

joshfree 26 янв. 2021

👍1

AFAICT зависимости не объявлены как необязательные в модуле Maven, поэтому, возможно, намек на то, как их исключить с помощью соответствующего механизма Maven, также будет иметь смысл.

knutwannheden 26 янв. 2021

👍1

Этот CVE открыт с 2017 года и получил CRITICAL 9,1 балла по CVSS.

Документация о том, как избежать этой зависимости, - хорошее начало, но не лучше ли исправить проблему?

jylipaa 11 февр. 2021

👍1

Поскольку org.linguafranca.pwdb:KeePassJava2 используется IntelliJCredential
Нам удалось обойти это, используя ManagedIdentityCredentialBuilder вместо DefaultIdentityBuilder при развертывании.