Могу ли я быть уверен, какая копия зависимости используется в войне, содержащей убержар? ⇐ JAVA

[Anonymous]

Приложение развертывается как военный файл. Он содержит зависимость «a» в виде файла jar внутри файла войны. «a» имеет собственную зависимость «b», встроенную в него, поэтому jar «a» является убер-архивом. К сожалению, версия «b», встроенная в «a», имеет уязвимость. Файл войны приложения также имеет новую, неуязвимую версию «b» в виде собственного jar-файла внутри файла войны. Таким образом, военный файл приложения содержит две копии «b»: более старую уязвимую копию, встроенную в «a», и новую неуязвимую копию в виде jar в войне.
Могу ли я знать , не запуская приложение, просто проверяя файл war (при необходимости читая байт-код), какая версия «b» будет загружена во время выполнения? Я хочу знать, что либо будет использоваться более старая уязвимая версия «b», поэтому военный файл в целом имеет уязвимость, либо точно знать, что будет использоваться новая версия «b», поэтому военный файл в целом имеет уязвимость. не иметь уязвимости (хотя она и содержит уязвимый код, она недоступна) или знать причину, которую невозможно определить, потому что, например, она зависит от других факторов.
Как следует - вверх, каков рекомендуемый процесс редактирования jar «a» для удаления встроенного «b»? Или мне придется самому собрать «a» из исходного кода?
Я задаю общий вопрос, потому что хочу получить общий ответ, но если это поможет обсуждению, «a» — это https ://mvnrepository.com/artifact/net.sf.ehcache/ehcache/2.10.9.2 и «b» — https://mvnrepository.com/artifact/com. ... ind/2.11.1

Подробнее здесь: https://stackoverflow.com/questions/790 ... an-uberjar