我们在构建管道中使用Snyk进行漏洞检查。项目中使用的spring Boot 版本是2.6.6,因此所有其他依赖项的版本都是继承的。在漏洞检查过程中,Snyk建议将spring-boot-starter-web版本升级到3.0.2,这是一个主要的发布版本升级。(2 -〉3)。我们对升级spring-boot版本有限制。
是否会有可能发生的问题,如何处理此类变更建议?
我们在构建管道中使用Snyk进行漏洞检查。项目中使用的spring Boot 版本是2.6.6,因此所有其他依赖项的版本都是继承的。在漏洞检查过程中,Snyk建议将spring-boot-starter-web版本升级到3.0.2,这是一个主要的发布版本升级。(2 -〉3)。我们对升级spring-boot版本有限制。
是否会有可能发生的问题,如何处理此类变更建议?
1条答案
按热度按时间flvlnr441#
Sping Boot 3.0中可能会阻碍升级的两个最大的变化是Java 17和Jakarta EE 9基线。如果你还没有准备好升级到Java 17,你可以通过使用Spring Boot 2.x来准备前者。你不能真正为后者做准备。当升级到Sping Boot 3.0时,您将不得不将import语句从
javax.*更改为jakarta.*,用于JPA等内容。如果您有使用Jakarta EE API的第三方依赖项,它们也必须升级到EE 9兼容版本。Snyk说得对,你应该从2.6.6升级,因为它不再被支持了。我不同意他的建议,跳到3.0.2。相反,我会升级到2.7.x(2.7.10是撰写本文时最新的2.7版本)和Java 17。你可以考虑升级到3.0.x,当你准备好了。注意,2.7.x的开源支持将在11月结束,所以你应该计划在年底之前升级到3.0.x。