Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

Dependências do JWT com vulnerabilidades - Qual utilizar em substituição?

Referente ao curso Kotlin e Spring: segurança e infraestrutura, no capítulo Segurança com JWT e atividade Criando a função de gerar Tokens

por Reginaldo Spricigo
| 187.4k xp | 5 posts

Boa noite! Ao acessar o repositório do Maven para pegar a dependência, notei que há várias vulnerabilidades apontadas nessa dependência.

Dependência Maven com vulnerabilidades

Fiquei na dúvida sobre como prosseguir. Encontrei outras dependências como "io.jsonwebtoken » jjwt-impl" e "io.jsonwebtoken » jjwt-api" mas não consegui identificar a diferença e se é possível usar em substituição. Qual seria a recomendação? Essa dependência utilizada no curso, visto as vulnerabilidades sinalizadas nela, não deve ser usada em aplicações reais, correto? Poderiam me dar um direcionamento sobre essa questão.

Grato desde já.

1 resposta
solução!
por João Victor
| 348.1k xp | 540 posts
Instrutor Software Engineer

Opa, Reginaldo. Bom dia!! Bom ponto levantado, pelo que eu vi aqui, são algumas dependências que o jsonwebtoken usam que está com vulnerabilidade. Podemos fazer as exclusions dela: 

<dependencies>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>com.fasterxml.jackson.core</groupId>
          <artifactId>jackson-databind</artifactId>
      </exclusion>

        -- Criar para todas as vulnerabilidades. 

      </exclusions> 
    </dependency>
  </dependencies>
</project>

Após isso, vc pode acrescentar as versões da dependências excluídas que tem a resolução da vulnerabilidade. São elas:

Imagem do MVN

Como vc pode vê, em updates tem a versão que foi solucionada =)