【问题标题】:spring-boot dependencies and security fixesspring-boot 依赖项和安全修复
【发布时间】:2016-07-06 06:40:59
【问题描述】:

我以推荐的方式使用spring boot,即添加

classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")

然后添加我需要的依赖项,例如:

compile('org.springframework.boot:spring-boot-starter-web')

该依赖项会拉取一些预定义版本的 tomcat 来托管我的微服务。

但是当发布了针对 tomcat 的安全修复程序时会发生什么? spring 团队是否会跟踪他们使用的所有项目中的所有安全问题,并在发布新修复程序时增加 spring-boot 版本?还是我必须自己跟踪它并手动控制依赖项(如tomcat)而不是使用“spring-boot方式”?

【问题讨论】:

    标签: java spring security spring-boot


    【解决方案1】:

    每当我们发布新版本的 Spring Boot 时,我们都会将托管依赖项版本更新为该依赖项的最新适当版本。适当意味着我们不会,例如,在 Spring Boot 的维护版本中移动到新的主要或次要版本的依赖项。

    一般来说,托管依赖项的新版本(即使它包含安全修复)不会触发新版本 Spring Boot 的发布。我们不可能确切地知道依赖项是如何使用的,以及修复是否与所有、部分甚至任何 Spring Boot 用户相关。

    这意味着您确实需要自己跟踪安全漏洞。如果漏洞影响到您并且 Spring Boot 尚未更新其托管版本,那么您可以轻松地在构建脚本中覆盖该版本。例如,如果您使用的是 Gradle:

    ext['tomcat.version']='8.0.36'
    

    或 Maven:

    <properties>
        <tomcat.version>8.0.36</tomcat.version>
    </properties>
    

    【讨论】:

      猜你喜欢
      • 2019-07-16
      • 2019-01-04
      • 2019-03-14
      • 2017-07-24
      • 2021-04-05
      • 2019-07-24
      • 2022-01-27
      • 2019-07-09
      • 2016-09-17
      相关资源
      最近更新 更多