maven排除依赖和升级安全jar包

在idea上安装maven helper插件

安装以后打开pom.xml文件，文件左下方会出现Dependency Analyzer，在这个面板里搜索有问题的jar名字

找到有问题的jar依赖，左击执行Exclude，执行后相应的父类jar包里就会排除掉依赖掉有问题的jar

如果是单体项目，排除掉旧jar以后，可以直接在pom.xml中直接引入更高版本的jar就可以了。

如果是聚合项目，由于maven依赖的传递性，并不传递jar版本号，所以需要把jar的版本定义在根pom.xml里，子模块通过依赖引入即可。

改完以后，可以再次在Dependency Analyzer中搜索jar会发现它的版本已经更新了。

关于升级jar到底是升级到哪个版本，可以根据上篇 dependency-check 扫描出来的jar里面的 描述来确定。

找对应版本的jar包，可以去 mvn repository 中搜索，也可去 阿里云云效Maven 中搜索对应版本的jar，如果都没有，可以直接到相应的官网上查询jar包，一般项目都是挂载到github上，可以自己到github上把项目下载下来，自己执行maven打包，打成一个对应版本的jar,放到仓库中供使用。