漏洞修复&&springboot&&springframework&&springcloud之间的对照关系
2025年7月17日无安全漏洞的springboot、springframework对照
| springframework | springboot | 发布时间 | 是否失效 |
|---|---|---|---|
| 6.2.9 | 3.5.1-3.5.3 | 2025-07-17 | -- |
| 6.2.8 | 3.4.7 | 2025-06-12 | -- |
| 6.1.21 | 3.3.13 | 2025-06-12 | -- |
漏洞修复顺序
- springframework
- springboot
- springcloud
- 引用频次最高的组件,例如hutool工具包
- 其他包,如果包没有无漏洞版,可以把代码抠出来或者更换组件
spring三大框架(组件)之间的关系
springcloud(微服务增强) -> springboot(web增强) -> springframework(java增强)
-
springframework版本发布页:https://spring.io/projects/spring-framework#learn
-
springboot版本发布页:https://spring.io/projects/spring-boot#learn
-
springcloud版本发布页:https://spring.io/projects/spring-cloud#learn
确定无安全漏洞的springframework版本
单纯的升级springboot、springcloud无法有效解决安全问题
根据 spring 三大框架(组件)之间的关系,出安全问题的通常是springframework的单个组件,例如最喜欢出漏洞的spring-web,或者根据安全扫描结果,优先挑出和springframework相关的。
到中心仓库查询springframework安全情况(需要登陆),也可以在这个网站查询其他包的安全情况:
- 中心仓库安全漏洞查询网站:https://ossindex.sonatype.org/
- 中心仓库spring-web安全漏洞查询: https://ossindex.sonatype.org/component/pkg:maven/org.springframework/spring-web
先确定当前项目的springframework的无漏洞版本、如果当前版本已经停止维护则需要看下一个版本或者更新的版本,正常情况下最新的版本没有安全问题、安全漏洞能得到最快的解决。
-
小版本升级:根据springboot绑定的springframework的大版本,查找小版本是否有无漏洞版本,然后升级到这个无漏洞小版本,如果本大版本下没有无漏洞小版本,则只能进行大版本升级。后面的章节介绍了如何查询springboot版本支持的最大springframework版本方法
-
大版本升级:根据无漏洞版本的springframework匹配springboot版本,升级到对应的版本。
-
直接升级到最新版本
保持版本持续更新、最新是解决安全问题的最有效的办法
springboot和springframework版本绑定关系
方法一:到spring.io网站查询
方法二:到中心仓库查询
-
查询spring-boot-dependencies版本信息:https://central.sonatype.com/artifact/org.springframework.boot/spring-boot-dependencies
-
某一个具体的版本(自行修改后面的版本号):https://central.sonatype.com/artifact/org.springframework.boot/spring-boot-dependencies/3.1.2
查询spring-framework.version字段,如果不凑巧这个版本没有安全版本,则只能继续查询更高版本直到找到springframework的安全版本
