如何选择较为安全的第三方依赖版本?

如何选择较为安全的第三方依赖版本?

  • 本文概览
    • 1.1 前言
      • 1.1.1 学会看第三方开源库的版本发布说明
      • 1.1.2 尽可能使用 starer 匹配的第三方开源库
      • 1.1.3 参考Maven 中心仓库的安全警告信息

本文概览

本篇博文分享如何选择较为安全的第三方依赖版本的方法。

1.1 前言

众所周知,在Java 研发的过程中,我们一般习惯通过mavengradle 管理项目中的第三方依赖包,以便于辅助我们提高开发业务功能的效率。

而第三方依赖包,往往随着历史的变迁,会迭代很多版本,尤其当某些旧版本的第三方依赖包出现bug或安全漏洞的时候,一般安全部会提醒我们更新我们的第三方依赖包,但是新版本有很多,我们应该选择哪一个版本呢?

1.1.1 学会看第三方开源库的版本发布说明

我们以最近要升级Spring Boot 到2.7.18 为例,假如我们的项目需要更新MyBatis Plus 的版本,那么你应该升级到哪个版本呢?

这里聪哥那边学会的一个很好的方法,就是查看第三方开源库的版本说明,具体步骤如下:

我们一般很容易在网上检索到MyBatis Plus 的代码仓库.

https://github.com/baomidou/mybatis-plus
在这里插入图片描述

然后点击上图里面Release 文字下面部分的超链接。

然后就可以看到各个版本的更新说明:
在这里插入图片描述
其中有一条,feat: SpringBoot升级至2.7.18和3.2.6

所以,我们选择mybatis plus 3.5.7 是较为合适的选择。

当然,我们也需要升级后对系统进行功能回归测试。

1.1.2 尽可能使用 starer 匹配的第三方开源库

众所周知,spring boot 提供了很多starter,如果使用starer 推荐的第三方开源库的依赖版本,有一个好处就是:spring 团队已经对这些依赖组进行了充分测试,我们可以相对安全地使用这些库。

Spring Boot 与 Spring Cloud 的兼容性说明:https://spring.io/projects/spring-cloud
在这里插入图片描述

spring boot 和kafka 之间的版本兼容性说明:https://spring.io/projects/spring-kafka
在这里插入图片描述

Spring Boot 版本和其他第三方开源库的兼容性说明:
● Spring Boot最新版对其他第三方开源库的依赖兼容关系
● Spring Boot 1.5.x 对其他第三方开源库的依赖兼容关系
● Spring Boot 2.5.x 对其他第三方开源库的依赖兼容关系
● Spring Boot 2.7.x 对其他第三方开源库的依赖兼容关系

PS:
更多升级细节参考:
Spring Boot 3 之SpringBoot 版本升级最佳实践指南

其他版本以官网提供信息为准。

1.1.3 参考Maven 中心仓库的安全警告信息

为了演示使用说明,这里以业界熟知的Guava 为例, 让我们来看看当在项目中引入Guava 这个开源库的时候,应该如何选择一个较为安全的版本。

这里分享一个很棒安全性做的也很不错的中心仓库网站。

https://mvnrepository.com/

打开上面链接后需要经过人机校验

之后我们输入检索依赖的关键词: “guava“
在这里插入图片描述

PS:

  • 小伙伴可以今后用这个网址来检索需要的几乎java 领域所有的第三方开源库.当然,公司自己封装的私有包除外。
  • 之后我们可以看到有多个guava 版本并且标记清楚了是否有安全漏洞以及使用这个版本的开源库个数。

在这里插入图片描述
当然,不管哪种方式,都需要在选择后,进行充分测试后方可使用,以上就是推荐的一些选择较为安全的第三方依赖版本的策略。

交流即分享,分享才能进步!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/404807.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【 亿邦动力网-注册安全分析报告】

前言 由于网站注册入口容易被黑客攻击,存在如下安全问题: 暴力破解密码,造成用户信息泄露短信盗刷的安全问题,影响业务及导致用户投诉带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞 …

python语言day7 函数式编程 面向对象编程

Java 函数式编程_java函数式编程-CSDN博客 25.Java函数式编程-CSDN博客 函数式编程: 通过调用函数send_email(),完成业务需求。将具体的业务需求封装成一个函数这样的一种解决问题的思想称它为函数式编程。 在java中本来没有函数的概念,因为…

【开源分享】CommLite 跨平台文本UI串口调试助手

文章目录 1. 简介2. 编译3. 使用4. 借鉴&思考参考 1. 简介 CommLite是一款基于CSerialPort的文本UI串口调试助手。 gitee仓库 2. 编译 编译非常简单,按照文档操作即可: $ git clone --depth1 https://github.com/itas109/CommLite.git $ cd Comm…

网易云音乐故障 2 小时,这次到底谁背锅?(今天记得领补偿)

大家好,我是程序员鱼皮,8 月 19 日下午,网易云音乐突发严重故障,并登顶微博热搜,跟黑神话悟空抢了热度。 根据用户的反馈,故障的具体表现为:用户无法登录、歌单加载失败、播放信息获取失败、无法…

聊聊适配器模式

目录 适配器模式概念 主要实现方式 主要组成 UML用例图 代码示例 生活场景 应用场景 适配器模式概念 适配器模式属于结构型设计模式,它的主要目的是将一个类的接口转换成客户端所期望的另一种接口形式,使得原本接口不兼容的类可以一起工作。 主…

暑假算法刷题日记 Day 10

目录 重点整理 054、 拼数 题目描述 输入格式 输出格式 输入输出样例 核心思路 代码 055、 求第k小的数 题目描述 输入格式 输出格式 输入输出样例 核心思路 代码 总结 这几天我们主要刷了洛谷上排序算法对应的一些题目,相对来说比较简单 一共是13道…

2024最新急速暴走小米运动自动刷步卡密版PHP源码

2023最新发布的急速暴走小米运动自动刷步卡密版PHP源码。该源码使用PHPTP6layui-Mini开发,旨在实现小米运动自动刷步功能。该程序支持通过微信修改步数,并采用卡密认证方式,用户只需提交提供的卡密,即可每日自助修改步数。 需要注…

Android 12系统源码_屏幕设备(二)DisplayAdapter和DisplayDevice的创建

前言 在Android 12系统源码_屏幕设备(一)DisplayManagerService的启动这篇文章中我们具体分析了DisplayManagerService 的启动流程,本篇文章我们将在这个的基础上具体来分析下设备屏幕适配器的创建过程。 一、注册屏幕适配器 系统是在Disp…

机器学习预处理

一、数据读取 数据的读取方式有多种,最终我们可以转化为numpy和pandas形式储存,方便后续的模型建立。 1.1 读取库的安装 需要用到的三个库 pip install pandas pip install numpy pip install openpyxl 1.2 库的使用 import pandas as pd ​ #### 1…

【故障处理】- ping不通的原因

PING不通是一个非常常见的网络问题,它可能由多种原因引起。如链路故障、ARP学习失败等 以一个Ping不通的尝试示例,介绍Ping不通故障的定位思路。如下图: PC3 Ping不通PC4 PC>ping 20.1.1.20Ping 20.1.1.20: 32 data bytes, Press Ctrl_C…

亚马逊铺货ERP国内采集,图片编辑文本翻译一键拉伸,自...

亚马逊全功能 ERP 铺货采集,自动生成 SKU。 说说国内平台采集的商品如何通过 ERP 自己做链接上传发布到亚马逊平台! 1. 首先进入 ERP 插件,直接点击 1688 平台采集自己想做的产品类型。各位按照自身的需求选择搜索的 JK,选择想采…

【GH】【EXCEL】P1: Write DATA SET from GH into EXCEL

文章目录 WriteFast WriteGH data material :GH process and components instructionFast Write DataFast Write Data & Clear DataFast Write to Cell EXCEL written results Write by ColumnGH data material :Compile ColumnGH process and components instructionWrite…

Redis RDB三两事

rdb:将数据库的快照以二进制格式保存在文件中,redis重启后直接加载数据。可以通过save和bgsave命令生成rdb。当然我们可以在生成rdb文件时指定规则,例如 save 60 1000 如果60秒内不少于1000个key发生了改动,则生成一个新的rdb文件…

如何在C++ QT 程序中集成cef3开源浏览器组件去显示网页?

目录 1、问题描述 2、为什么选择cef3浏览器组件 3、cef3组件的介绍与下载 4、将cef3组件封装成sdk 5、如何使用cef3组件加载web页面 5.1、了解CefApp与CefClient 5.2、初始化与消息循环 5.3、如何创建浏览器 5.4、重载CefClient类 6、在qt客户端集成cef组件 7、最后…

什么是主机加固?主机加固的几种有效方法

在数字化时代,数据的价值不言而喻,但随之而来的安全威胁也日益严峻。从勒索病毒到内部泄露,企业的数据安全面临着前所未有的挑战。为了应对这些挑战,一种全新的主机加固解决方案应运而生。 MCK主机加固解决方案,采用先…

Using Azure openAI key rotation automation

题意:使用 Azure OpenAI 密钥轮换自动化 问题背景: We are planning to do the Azure OpenAI key rotation automatically. How can we achieve this? Do we have terraform resource for this. 我们计划自动执行 Azure OpenAI 密钥轮换。我们如何实现…

运维小技能:通过调整JVM的默认内存配置来解决内存溢出(‌OutOfMemoryError)‌或栈溢出(‌StackOverflowError)‌等错误

文章目录 引言I 调整JVM的默认堆内存配置1.1 java命令启动jar包时配置JVM 的内存参数1.2 基于Tomcat服务器部署的java应用,配置JVM 的内存参数II 案例: Linux 操作系统设置tomcat的 JVM 的内存参数查找Tomcat位置: 快速定位服务状态和部署位置具体配置步骤扩展: 监测Nginx访…

Mysql查询日志

Mysql查询日志 Mysql查询日志默认是关闭状态的。 mysql> show variables like %general_log%; --------------------------------------- | Variable_name | Value | --------------------------------------- | general_log | OFF …

Python数分实战

学习视频:【课程3.0】Python基础与分析实战_哔哩哔哩_bilibili 由于学习过python进行数据分析,所以就简单记录一下,最主要学习的还是视频最后的两个项目,进行实战 之前想不明白明明有很智能的软件做数据分析,为什么还要…

C++票据查验、票据ocr、文字识别

现在,80、90后的人们逐渐过渡为职场上的主力人员,在工作中当然也会碰到各种各样的问题。比如,当你的老板给你一个艰难的任务时,肯定是不能直接拒绝的。那么我们该怎么做呢?翔云建议您先认真考虑老板说的任务的难度&…