Conmi的正确答案——Maven加载时检测到的漏洞修复

JDK:17.0.5

Maven:3.9.6


1、使用Maven仓库包修复

  1. 示例(假设是springboot3.4.1的logback-core1.5.12报漏洞):
  2. 根据报错信息,前往Maven仓库(mvnrepository)找到"logback-core":
  3. 进入仓库页面,找到修复漏洞的最新版(生产不选alpha、beta版这些带测试版字样的版本):
  4. 进入包页面复制Maven的引入配置:
  5. 复制回项目位置,刷新Maven后并运行,查看是否存在错误:
  6. 运行出现错误,根据日志可以分析出是"ch.qos.logback.classic.PatternLayout"的版本不比配(直接用AI去识别问题出在哪也行,死斗游戏里最重要是快):
  7. 再去Maven仓库找到相同版本的"logback-classic"包(其实第一次搜索的时候有附带出现),重复之前的步骤即可:
  8. 再次运行没有报错,则说明已修复完成:

    (最后的"spring-boot-starter-data-redis"也可以按照同样的方法去修复)

2、手动修复

有一些包经久未修,可以尝试在github上找到其开源的仓库,阅读漏洞编号的文件查看漏洞复现步骤。

根据步骤进行源码debug,找到导致漏洞的代码,修复漏洞、以及修复的同时避免写出新的漏洞

============

像之前报的那种"为什么Mybatis-Plus不拦截前端直传到后端的SQL"那种漏洞可以忽视。

谁知道你设计的逻辑里前端是不是在AI里,难不成别人要帮你把AI都查一遍?

若是如此,JDBC恐难逃此漏洞。
科斯定律:"谁付出的成本最低,谁就应该承担更大的责任"。

============


3、漏洞发现

日常可以去看一下漏洞文档,看一下他们的漏洞是怎么发现的,则可以弥补自己编码过程中可能出现漏洞的写法。

相关推荐
今天AI了吗1 分钟前
Hermes Agent 搭建全流程:从本机试跑到可持续运行的个人 AI Agent
java·人工智能·python·学习·embedding
春卷同学8 分钟前
032-关系型数据库在记账应用中的建模与查询优化
java·jvm·数据库
不平衡的叉叉树24 分钟前
Springboot+Mockito简单使用单元测试
java·spring boot·单元测试
空中湖25 分钟前
Spring AI 多模型接入实战:OpenAI、Ollama、通义千问切换只需改配置
java·人工智能·spring
tianyatest28 分钟前
表格分类统计及排序
java·excel·暖通
万亿少女的梦1681 小时前
基于Spring Boot与MySQL的乡镇群众服务系统设计与实现
java·spring boot·mysql·权限管理·前后端分离
thefool1122661 小时前
Java 面向对象
java
2501_948106911 小时前
计算机毕业设计之jsp-智慧旅游分享平台
java·开发语言·spark·汽车·课程设计·旅游
阿里云云原生1 小时前
Agent 不再是“玩具”!AgentScope Java 2.0 GA 发布:构建企业级分布式智能体底座
java·开发语言·分布式·agentscope
4154111 小时前
MyBatis-Plus + PostGIS 实战(四):GeoJSON 序列化与前端地图对接,全局 WKT + 局部 GeoJSON,两种格式优雅共存
java·mybatis·postgis·geojson