如何选择较为安全的第三方依赖版本?
- 本文概览
- 1.1 前言
- 1.1.1 学会看第三方开源库的版本发布说明
- 1.1.2 尽可能使用 starer 匹配的第三方开源库
- 1.1.3 参考Maven 中心仓库的安全警告信息
本文概览
本篇博文分享如何选择较为安全的第三方依赖版本的方法。
1.1 前言
众所周知,在Java 研发的过程中,我们一般习惯通过maven或gradle 管理项目中的第三方依赖包,以便于辅助我们提高开发业务功能的效率。
而第三方依赖包,往往随着历史的变迁,会迭代很多版本,尤其当某些旧版本的第三方依赖包出现bug或安全漏洞的时候,一般安全部会提醒我们更新我们的第三方依赖包,但是新版本有很多,我们应该选择哪一个版本呢?
1.1.1 学会看第三方开源库的版本发布说明
我们以最近要升级Spring Boot 到2.7.18 为例,假如我们的项目需要更新MyBatis Plus 的版本,那么你应该升级到哪个版本呢?
这里聪哥那边学会的一个很好的方法,就是查看第三方开源库的版本说明,具体步骤如下:
我们一般很容易在网上检索到MyBatis Plus 的代码仓库.
https://github.com/baomidou/mybatis-plus
然后点击上图里面Release 文字下面部分的超链接。
然后就可以看到各个版本的更新说明:
其中有一条,feat: SpringBoot升级至2.7.18和3.2.6
所以,我们选择mybatis plus 3.5.7 是较为合适的选择。
当然,我们也需要升级后对系统进行功能回归测试。
1.1.2 尽可能使用 starer 匹配的第三方开源库
众所周知,spring boot 提供了很多starter,如果使用starer 推荐的第三方开源库的依赖版本,有一个好处就是:spring 团队已经对这些依赖组进行了充分测试,我们可以相对安全地使用这些库。
Spring Boot 与 Spring Cloud 的兼容性说明:https://spring.io/projects/spring-cloud
spring boot 和kafka 之间的版本兼容性说明:https://spring.io/projects/spring-kafka
Spring Boot 版本和其他第三方开源库的兼容性说明:
● Spring Boot最新版对其他第三方开源库的依赖兼容关系
● Spring Boot 1.5.x 对其他第三方开源库的依赖兼容关系
● Spring Boot 2.5.x 对其他第三方开源库的依赖兼容关系
● Spring Boot 2.7.x 对其他第三方开源库的依赖兼容关系
PS:
更多升级细节参考:
Spring Boot 3 之SpringBoot 版本升级最佳实践指南
其他版本以官网提供信息为准。
1.1.3 参考Maven 中心仓库的安全警告信息
为了演示使用说明,这里以业界熟知的Guava 为例, 让我们来看看当在项目中引入Guava 这个开源库的时候,应该如何选择一个较为安全的版本。
这里分享一个很棒安全性做的也很不错的中心仓库网站。
https://mvnrepository.com/
打开上面链接后需要经过人机校验
之后我们输入检索依赖的关键词: “guava“
PS:
- 小伙伴可以今后用这个网址来检索需要的几乎java 领域所有的第三方开源库.当然,公司自己封装的私有包除外。
- 之后我们可以看到有多个guava 版本并且标记清楚了是否有安全漏洞以及使用这个版本的开源库个数。
当然,不管哪种方式,都需要在选择后,进行充分测试后方可使用,以上就是推荐的一些选择较为安全的第三方依赖版本的策略。
交流即分享,分享才能进步!
