如何选择较为安全的第三方依赖版本?

如何选择较为安全的第三方依赖版本?

  • 本文概览
    • [1.1 前言](#1.1 前言)
      • [1.1.1 学会看第三方开源库的版本发布说明](#1.1.1 学会看第三方开源库的版本发布说明)
      • [1.1.2 尽可能使用 starer 匹配的第三方开源库](#1.1.2 尽可能使用 starer 匹配的第三方开源库)
      • [1.1.3 参考Maven 中心仓库的安全警告信息](#1.1.3 参考Maven 中心仓库的安全警告信息)

本文概览

本篇博文分享如何选择较为安全的第三方依赖版本的方法。

1.1 前言

众所周知,在Java 研发的过程中,我们一般习惯通过mavengradle 管理项目中的第三方依赖包,以便于辅助我们提高开发业务功能的效率。

而第三方依赖包,往往随着历史的变迁,会迭代很多版本,尤其当某些旧版本的第三方依赖包出现bug或安全漏洞的时候,一般安全部会提醒我们更新我们的第三方依赖包,但是新版本有很多,我们应该选择哪一个版本呢?

1.1.1 学会看第三方开源库的版本发布说明

我们以最近要升级Spring Boot 到2.7.18 为例,假如我们的项目需要更新MyBatis Plus 的版本,那么你应该升级到哪个版本呢?

这里聪哥那边学会的一个很好的方法,就是查看第三方开源库的版本说明,具体步骤如下:

我们一般很容易在网上检索到MyBatis Plus 的代码仓库.

https://github.com/baomidou/mybatis-plus

然后点击上图里面Release 文字下面部分的超链接。

然后就可以看到各个版本的更新说明:

其中有一条,feat: SpringBoot升级至2.7.18和3.2.6

所以,我们选择mybatis plus 3.5.7 是较为合适的选择。

当然,我们也需要升级后对系统进行功能回归测试。

1.1.2 尽可能使用 starer 匹配的第三方开源库

众所周知,spring boot 提供了很多starter,如果使用starer 推荐的第三方开源库的依赖版本,有一个好处就是:spring 团队已经对这些依赖组进行了充分测试,我们可以相对安全地使用这些库。

Spring Boot 与 Spring Cloud 的兼容性说明:https://spring.io/projects/spring-cloud

spring boot 和kafka 之间的版本兼容性说明:https://spring.io/projects/spring-kafka

Spring Boot 版本和其他第三方开源库的兼容性说明:

Spring Boot最新版对其他第三方开源库的依赖兼容关系

Spring Boot 1.5.x 对其他第三方开源库的依赖兼容关系

Spring Boot 2.5.x 对其他第三方开源库的依赖兼容关系

Spring Boot 2.7.x 对其他第三方开源库的依赖兼容关系

PS:

更多升级细节参考:

Spring Boot 3 之SpringBoot 版本升级最佳实践指南

其他版本以官网提供信息为准。

1.1.3 参考Maven 中心仓库的安全警告信息

为了演示使用说明,这里以业界熟知的Guava 为例, 让我们来看看当在项目中引入Guava 这个开源库的时候,应该如何选择一个较为安全的版本。

这里分享一个很棒安全性做的也很不错的中心仓库网站。

https://mvnrepository.com/

打开上面链接后需要经过人机校验

之后我们输入检索依赖的关键词: "guava"

PS:

  • 小伙伴可以今后用这个网址来检索需要的几乎java 领域所有的第三方开源库.当然,公司自己封装的私有包除外。
  • 之后我们可以看到有多个guava 版本并且标记清楚了是否有安全漏洞以及使用这个版本的开源库个数。

当然,不管哪种方式,都需要在选择后,进行充分测试后方可使用,以上就是推荐的一些选择较为安全的第三方依赖版本的策略。

交流即分享,分享才能进步!

相关推荐
薄荷椰果抹茶1 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
运维开发王义杰9 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习11 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟13 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove14 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu14 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司14 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵16 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
浩浩测试一下21 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA1 天前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全