关于引用jackson版本的风险问题

从mvnrepository中可以看到，JFinal依赖的jackson最高版本号为：2.8.11.1

此版本的jackson存在“远程代码执行漏洞”，详情如下：

建议提高jackson的依赖版本

项目：JFinal

评论区

2020-03-05 19:58

jfinal 在线的代码中在前段时间已改为了 2.10.2，刚刚我又改成了最新版本的 2.10.3

此外，jfinal 并未依赖 jackson，只是用于编译。所以用户在使用 jfinal 的时候并不会自动引入 jackson 依赖

谢谢反馈

2020-03-06 01:16

@JFinal，我跟着问一下，直接用mvn编译jfinal的源码，提示需要一个代码签名的，可以跳过这个代码签名嘛？

2020-03-06 02:13

@zzutligang 删掉 pom.xml 中的那个用于签名的插件，然后执行下面的命令即可将最新版本安装到本地 maven 库：
mvn clean install

编译的话这样：
mvn clean compile

2020-03-06 19:21

知道能跳过就行了，谢谢！