現在、私のプロジェクトは次のようにスプリング ブート スターター テストを使用しています。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<version>2.3.8.RELEASE</version>
<scope>test</scope>
</dependency>
ただし、テスト スコープにもかかわらず、コンパイル スコープの推移的な依存関係として spring-core (このバージョンでは脆弱な tpl) を取り込み、コンパイル済みバイナリ内に表示されます。
テスト スコープで明示的に spring-core をプルすることで、これを修正できることを認識しています。
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>5.2.12.RELEASE</version>
<scope>test</scope>
</dependency>
ただし、これは必要ありません。依存関係をコンパイル スコープにプルするテストでのみ使用可能な依存関係があるのはなぜですか?