Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

Dependências do JWT com vulnerabilidades - Qual utilizar em substituição?

Boa noite! Ao acessar o repositório do Maven para pegar a dependência, notei que há várias vulnerabilidades apontadas nessa dependência.

Dependência Maven com vulnerabilidades

Fiquei na dúvida sobre como prosseguir. Encontrei outras dependências como "io.jsonwebtoken » jjwt-impl" e "io.jsonwebtoken » jjwt-api" mas não consegui identificar a diferença e se é possível usar em substituição. Qual seria a recomendação? Essa dependência utilizada no curso, visto as vulnerabilidades sinalizadas nela, não deve ser usada em aplicações reais, correto? Poderiam me dar um direcionamento sobre essa questão.

Grato desde já.

Garanta sua matrícula hoje e ganhe + 2 meses grátis

Continue sua jornada tech com ainda mais tempo para aprender e evoluir

Quero aproveitar agora
1 resposta
solução!

Opa, Reginaldo. Bom dia!! Bom ponto levantado, pelo que eu vi aqui, são algumas dependências que o jsonwebtoken usam que está com vulnerabilidade. Podemos fazer as exclusions dela:

<dependencies>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>com.fasterxml.jackson.core</groupId>
          <artifactId>jackson-databind</artifactId>
      </exclusion>

        -- Criar para todas as vulnerabilidades. 

      </exclusions> 
    </dependency>
  </dependencies>
</project>

Após isso, vc pode acrescentar as versões da dependências excluídas que tem a resolução da vulnerabilidade. São elas:

Imagem do MVN

Como vc pode vê, em updates tem a versão que foi solucionada =)