我计划将服务从spring Boot 2.2.6升级到3.0.2。我想知道最新的spring boot版本是否有任何新的漏洞,以及所有旧的漏洞是否已经在spring boot最新版本中修复?我可以从哪里获得这些信息?注意:我可以看到2.2.6版本的maven存储库中的57个漏洞列表,但它没有列出3.0.2版本的任何漏洞。虽然spring可能修复了直接漏洞,但很少有来自传递依赖的漏洞。是否有方法找到所有来自直接和传递依赖的漏洞?
b4lqfgs41#
答案并不容易,因为我们不知道你所有使用过的(子)依赖项。而且答案可能在几个小时/几天/几周内就过时了......但是您可以使用新的MavenCentral网站手动查找依赖项。一个例子:当你搜索“Spring JPA”,那么你会发现这个网站:https://search.maven.org/artifact/org.springframework.boot/spring-boot-starter-data-jpa/3.0.2/jar并有按钮来查看指向此站点的OSS索引:
https://ossindex.sonatype.org/component/pkg:maven/org.springframework.boot/spring-boot-starter-data-jpa@3.0.2或者,只需进行升级,让您的IDE自动解决所有漏洞。IntelliJ做得非常好:
1条答案
按热度按时间b4lqfgs41#
答案并不容易,因为我们不知道你所有使用过的(子)依赖项。而且答案可能在几个小时/几天/几周内就过时了......
但是您可以使用新的MavenCentral网站手动查找依赖项。
一个例子:当你搜索“Spring JPA”,那么你会发现这个网站:https://search.maven.org/artifact/org.springframework.boot/spring-boot-starter-data-jpa/3.0.2/jar
并有按钮来查看指向此站点的OSS索引:
https://ossindex.sonatype.org/component/pkg:maven/org.springframework.boot/spring-boot-starter-data-jpa@3.0.2
或者,只需进行升级,让您的IDE自动解决所有漏洞。
IntelliJ做得非常好: