如何选择较为安全的第三方依赖版本?

如何选择较为安全的第三方依赖版本?

  • 本文概览
    • [1.1 前言](#1.1 前言)
      • [1.1.1 学会看第三方开源库的版本发布说明](#1.1.1 学会看第三方开源库的版本发布说明)
      • [1.1.2 尽可能使用 starer 匹配的第三方开源库](#1.1.2 尽可能使用 starer 匹配的第三方开源库)
      • [1.1.3 参考Maven 中心仓库的安全警告信息](#1.1.3 参考Maven 中心仓库的安全警告信息)

本文概览

本篇博文分享如何选择较为安全的第三方依赖版本的方法。

1.1 前言

众所周知,在Java 研发的过程中,我们一般习惯通过mavengradle 管理项目中的第三方依赖包,以便于辅助我们提高开发业务功能的效率。

而第三方依赖包,往往随着历史的变迁,会迭代很多版本,尤其当某些旧版本的第三方依赖包出现bug或安全漏洞的时候,一般安全部会提醒我们更新我们的第三方依赖包,但是新版本有很多,我们应该选择哪一个版本呢?

1.1.1 学会看第三方开源库的版本发布说明

我们以最近要升级Spring Boot 到2.7.18 为例,假如我们的项目需要更新MyBatis Plus 的版本,那么你应该升级到哪个版本呢?

这里聪哥那边学会的一个很好的方法,就是查看第三方开源库的版本说明,具体步骤如下:

我们一般很容易在网上检索到MyBatis Plus 的代码仓库.

https://github.com/baomidou/mybatis-plus

然后点击上图里面Release 文字下面部分的超链接。

然后就可以看到各个版本的更新说明:

其中有一条,feat: SpringBoot升级至2.7.18和3.2.6

所以,我们选择mybatis plus 3.5.7 是较为合适的选择。

当然,我们也需要升级后对系统进行功能回归测试。

1.1.2 尽可能使用 starer 匹配的第三方开源库

众所周知,spring boot 提供了很多starter,如果使用starer 推荐的第三方开源库的依赖版本,有一个好处就是:spring 团队已经对这些依赖组进行了充分测试,我们可以相对安全地使用这些库。

Spring Boot 与 Spring Cloud 的兼容性说明:https://spring.io/projects/spring-cloud

spring boot 和kafka 之间的版本兼容性说明:https://spring.io/projects/spring-kafka

Spring Boot 版本和其他第三方开源库的兼容性说明:

Spring Boot最新版对其他第三方开源库的依赖兼容关系

Spring Boot 1.5.x 对其他第三方开源库的依赖兼容关系

Spring Boot 2.5.x 对其他第三方开源库的依赖兼容关系

Spring Boot 2.7.x 对其他第三方开源库的依赖兼容关系

PS:

更多升级细节参考:

Spring Boot 3 之SpringBoot 版本升级最佳实践指南

其他版本以官网提供信息为准。

1.1.3 参考Maven 中心仓库的安全警告信息

为了演示使用说明,这里以业界熟知的Guava 为例, 让我们来看看当在项目中引入Guava 这个开源库的时候,应该如何选择一个较为安全的版本。

这里分享一个很棒安全性做的也很不错的中心仓库网站。

https://mvnrepository.com/

打开上面链接后需要经过人机校验

之后我们输入检索依赖的关键词: "guava"

PS:

  • 小伙伴可以今后用这个网址来检索需要的几乎java 领域所有的第三方开源库.当然,公司自己封装的私有包除外。
  • 之后我们可以看到有多个guava 版本并且标记清楚了是否有安全漏洞以及使用这个版本的开源库个数。

当然,不管哪种方式,都需要在选择后,进行充分测试后方可使用,以上就是推荐的一些选择较为安全的第三方依赖版本的策略。

交流即分享,分享才能进步!

相关推荐
浩浩测试一下12 分钟前
SQL注入高级绕过手法汇总 重点
数据库·sql·安全·web安全·网络安全·oracle·安全架构
极小狐4 小时前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
国科安芯5 小时前
面向高性能运动控制的MCU:架构创新、算法优化与应用分析
单片机·嵌入式硬件·安全·架构·机器人·汽车·risc-v
迷路的小绅士7 小时前
常见网络安全攻击类型深度剖析(四):跨站脚本攻击(XSS)——分类、漏洞利用与前端安全防护
前端·安全·web安全
自由鬼8 小时前
开源漏洞扫描器:OpenVAS
运维·服务器·安全·网络安全·开源·漏洞管理
Python_金钱豹8 小时前
Text2SQL零代码实战!RAGFlow 实现自然语言转 SQL 的终极指南
前端·数据库·sql·安全·ui·langchain·机器人
广东航连科技8 小时前
银行网点款箱交接权限认证开锁与密钥时效双重监控
物联网·安全·银行·精细化管理·锁控·智能锁·款箱
迷路的小绅士9 小时前
网络安全概述:定义、重要性与发展历程
网络·安全·web安全
胡八一11 小时前
如何在 Dialog 中安全初始化 ECharts 并自动监听容器大小变化
前端·安全·echarts
virelin_Y.lin13 小时前
系统与网络安全------弹性交换网络(2)
网络·安全·web安全·链路聚合·lacp·eth-trunk