[英]spring-boot dependencies and security fixes
我以推薦的方式使用spring boot,即添加
classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")
然后添加我需要的依賴項,如:
compile('org.springframework.boot:spring-boot-starter-web')
這種依賴性拉動了一些預定義的tomcat版本,它將托管我的微服務。
但是當發布tomcat的安全修復程序時會發生什么? Spring團隊是否跟蹤他們使用的所有項目中的所有安全問題,並在發布新修補程序時使用spring-boot版本? 或者我必須自己跟蹤它並手動控制依賴關系(如tomcat)而不是使用'spring-boot方式'?
每當我們發布新版本的Spring Boot時,我們都會將托管依賴項版本更新為該依賴項的最新版本。 例如,適當意味着我們不會在Spring Boot的維護版本中轉移到新的主要版本或次要版本的依賴項。
一般來說,新版本的托管依賴項(即使它包含安全修復程序)也不會觸發新版本的Spring Boot的發布。 我們不可能確切地知道如何使用依賴項以及修復是否與Spring Boot的所有用戶,某些用戶甚至任何用戶有關。
這意味着您需要自己跟蹤安全漏洞。 如果漏洞影響您並且Spring Boot尚未更新其托管版本,那么您可以輕松地在構建腳本中覆蓋該版本。 例如,如果您使用的是Gradle:
ext['tomcat.version']='8.0.36'
或Maven:
<properties>
<tomcat.version>8.0.36</tomcat.version>
</properties>
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.