Dependências do JWT com vulnerabilidades - Qual utilizar em substituição? | Kotlin e Spring: segurança e infraestrutura

Solucionado (ver solução)

Solucionado
(ver solução)

1
resposta

Referente ao curso Kotlin e Spring: segurança e infraestrutura, no capítulo Segurança com JWT e atividade Criando a função de gerar Tokens

por Reginaldo Spricigo

| 146.9k xp | 3 posts

Boa noite! Ao acessar o repositório do Maven para pegar a dependência, notei que há várias vulnerabilidades apontadas nessa dependência.

Dependência Maven com vulnerabilidades

Fiquei na dúvida sobre como prosseguir. Encontrei outras dependências como "io.jsonwebtoken » jjwt-impl" e "io.jsonwebtoken » jjwt-api" mas não consegui identificar a diferença e se é possível usar em substituição. Qual seria a recomendação? Essa dependência utilizada no curso, visto as vulnerabilidades sinalizadas nela, não deve ser usada em aplicações reais, correto? Poderiam me dar um direcionamento sobre essa questão.

Grato desde já.

1 resposta

solução!

por João Victor

| 348.1k xp | 540 posts

Instrutor Software Engineer

13/06/2022

Opa, Reginaldo. Bom dia!! Bom ponto levantado, pelo que eu vi aqui, são algumas dependências que o jsonwebtoken usam que está com vulnerabilidade. Podemos fazer as exclusions dela:

<dependencies>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>com.fasterxml.jackson.core</groupId>
          <artifactId>jackson-databind</artifactId>
      </exclusion>

        -- Criar para todas as vulnerabilidades. 

      </exclusions> 
    </dependency>
  </dependencies>
</project>

Após isso, vc pode acrescentar as versões da dependências excluídas que tem a resolução da vulnerabilidade. São elas:

Imagem do MVN

Como vc pode vê, em updates tem a versão que foi solucionada =)