我想使用最终版本的spring boot 2.5.15重新定义spring框架的版本,以考虑到5.3.32版本中最后修正的漏洞,知道使用的spring框架的版本是5.3.17版本Spring Boot 版本 2.5.15.
鉴于上下文,这是一个很好的做法,因为我知道我无法再更新 Spring Boot 版本,因为它不再维护。
是的,如果必须的话,以困难的方式升级库是一个很好的做法。
有时,您需要在等待有问题的库修补它或等待您和您的团队能够赶上没有问题的早期版本时修补此类安全缺陷。
我们通过手动更新来处理 Minecraft 玩家发现的臭名昭著的 log4j 错误。只要确保您的应用程序可以正常工作就可以了。为了减少在代码中引入错误的机会,请考虑选择没有问题的早期版本。
话虽如此,我看到您将 spring boot 编写为携带该问题的库。您的意思是这个图书馆吗?如果是这样,2.7.18 就没有这个漏洞,如果可以的话,更新 spring boot 将是最好的做法。