私のアプリケーションはビルドに Maven を使用しており、その依存関係には LibA と LibB があります。どちらも同じライブラリ com.thoughtworks.xstream:xstream に依存していますが、LibA はバージョン 1.4.16 に依存し、LibB は 1.4.8 に依存しています。を実行するmvn dependency:treeと、1.4.16 バージョンのみが使用されていることがわかります。ビルドされた JAR ファイルを解凍すると、xstream-1.4.16.jar のみが存在することがわかります。しかし、Xray は、LibB を介して xstream バージョン 1.4.8 に依存しているため、私のアプリケーションにはセキュリティ上の問題があると報告しています。
他の誰かがこの動作に遭遇しましたか? 私たちのバイナリが古い 1.4.8 バージョンとは何の関係もないことを Xray に認識させる方法はありますか?