第三方依赖漏洞升级
安全扫描出问题了怎么办
安全扫描出问题后,可根据漏洞列表,对有问题的包进行升级。
我该如何判断应该用什么版本的包
-
安全漏洞扫描后,往往会有一栏推荐使用的版本,或者无报错版本
-
但是这个推荐偶尔会有一定的滞后性,可能会出现推荐版本会有其他漏洞,或者推荐版本跨度过大有兼容性问题
-
建议可以通过网站mvn查询去寻找最接近当前使用小版本的无漏洞版本包进行升级,这是最快捷的方式
-
如果网站上标明的无漏洞版本还是扫描有漏洞怎么办,可以去github或者作者其他开源地址,对已处理的issue进行查看,看作者是怎么对这个问题进行修复的,在哪个版本,进行升级。
最近常见扫描出问题的包推荐版本
本推荐具有一定的时效性,仅可做参考
-
yaml包升级
<dependency> <groupId>org.yaml</groupId> <artifactId>snakeyaml</artifactId> <version>2.0</version> </dependency> <!--同时需升级springboot相关包--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-autoconfigure</artifactId> <version>2.5.15</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot</artifactId> <version>2.5.15</version> </dependency> -
spring-security相关包
<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>5.7.14</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.7.14</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.7.14</version> </dependency> -
spring-web/spring-webflux 目前5.x没有对应的修复版本
-
logback版本,1.2.*目前最高升级到1.2.13,对于logback-core依然是有漏洞,但是少一点
-
spring-boot-actuator-autoconfigure 升级到2.5.15