我在运行Snyk开源安全管理工具后遇到了一个漏洞,并且不知道如何解决它。
这是一个添加了 robolectric 依赖项的 Android 项目。
License issues:
✗ Dual license: CDDL-1.1, GPL-2.0-with-classpath-exception [High Severity][https://snyk.io/vuln/snyk:lic:maven:javax.annotation:javax.annotation-api:(CDDL-1.1_OR_GPL-2.0-with-classpath-exception)]
in javax.annotation:[email protected]
introduced by org.robolectric:[email protected] > javax.annotation:[email protected]
and 4 other path(s)
该问题与双重许可证(CDDL-1.1、GPL-2.0-with-classpath-exception)有关。您需要确保您的项目符合这些许可证。您可以在此处找到有关许可证的更多详细信息:https://snyk.io/vuln/snyk:lic:maven:javax.annotation:javax.annotation-api:(CDDL-1.1_OR_GPL-2.0-with-classpath-exception。
您可能还想检查是否有较新版本的 javax.annotation:javax.annotation-api 依赖项,该依赖项可能具有更宽松的许可证。更新到新版本可能会解决该问题。
如果这不起作用,我还建议检查 DevSecCon Discord 服务器以获取更多答案 https://devseccon.io/discordcommunity