【发布时间】:2016-07-06 06:40:59
【问题描述】:
我以推荐的方式使用spring boot,即添加
classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")
然后添加我需要的依赖项,例如:
compile('org.springframework.boot:spring-boot-starter-web')
该依赖项会拉取一些预定义版本的 tomcat 来托管我的微服务。
但是当发布了针对 tomcat 的安全修复程序时会发生什么? spring 团队是否会跟踪他们使用的所有项目中的所有安全问题,并在发布新修复程序时增加 spring-boot 版本?还是我必须自己跟踪它并手动控制依赖项(如tomcat)而不是使用“spring-boot方式”?
【问题讨论】:
标签: java spring security spring-boot