# 漏洞修复&&springboot&&springframework&&springcloud之间的对照关系

#### 2025年7月17日无安全漏洞的springboot、springframework对照

|springframework|springboot|发布时间|是否失效|
|---|---|---|---|
|6.2.9|   3.5.1-3.5.3  |2025-07-17|--|
|6.2.8|3.4.7|2025-06-12|--|
|6.1.21|3.3.13|2025-06-12|--|



#### 漏洞修复顺序

- springframework
- springboot
- springcloud
- 引用频次最高的组件，例如hutool工具包
- 其他包，如果包没有无漏洞版，可以把代码抠出来或者更换组件

#### spring三大框架（组件）之间的关系

**springcloud（微服务增强） ->  springboot（web增强） -> springframework(java增强)**

- springframework版本发布页：<https://spring.io/projects/spring-framework#learn>

- springboot版本发布页：<https://spring.io/projects/spring-boot#learn>

- springcloud版本发布页：<https://spring.io/projects/spring-cloud#learn>





#### 确定无安全漏洞的springframework版本


**单纯的升级springboot、springcloud无法有效解决安全问题**


根据 spring 三大框架(组件)之间的关系，出安全问题的通常是**springframework**的单个组件，例如最喜欢出漏洞的**spring-web**，或者根据安全扫描结果，优先挑出和**springframework**相关的。


到中心仓库查询**springframework**安全情况（需要登陆），也可以在这个网站查询其他包的安全情况：

- 中心仓库安全漏洞查询网站：<https://ossindex.sonatype.org/>
- 中心仓库spring-web安全漏洞查询： <https://ossindex.sonatype.org/component/pkg:maven/org.springframework/spring-web>

---


先确定当前项目的springframework的无漏洞版本、如果当前版本已经停止维护则需要看下一个版本或者更新的版本，正常情况下最新的版本没有安全问题、安全漏洞能得到最快的解决。



- 小版本升级：根据springboot绑定的springframework的大版本，查找小版本是否有无漏洞版本，然后升级到这个无漏洞小版本，如果本大版本下没有无漏洞小版本，则只能进行大版本升级。后面的章节介绍了如何查询springboot版本支持的最大springframework版本方法


- 大版本升级：根据无漏洞版本的springframework匹配springboot版本，升级到对应的版本。


- 直接升级到最新版本

**保持版本持续更新、最新是解决安全问题的最有效的办法**


---

#### springboot和springframework版本绑定关系

##### 方法一：到spring.io网站查询

[![](https://iovhm.com/book/uploads/images/gallery/2025-07/scaled-1680-/NDCfJBheJfKZHFzX-image-1752780404467.png)](https://iovhm.com/book/uploads/images/gallery/2025-07/NDCfJBheJfKZHFzX-image-1752780404467.png)


[![](https://iovhm.com/book/uploads/images/gallery/2025-07/scaled-1680-/xHGSeh2DRi60jAC1-image-1752780375666.png)](https://iovhm.com/book/uploads/images/gallery/2025-07/xHGSeh2DRi60jAC1-image-1752780375666.png)

---

##### 方法二：到中心仓库查询

- 中心仓库：<https://central.sonatype.com/>

- 查询spring-boot-dependencies版本信息：<https://central.sonatype.com/artifact/org.springframework.boot/spring-boot-dependencies>

- 某一个具体的版本(自行修改后面的版本号)：<https://central.sonatype.com/artifact/org.springframework.boot/spring-boot-dependencies/3.1.2>

[![](https://iovhm.com/book/uploads/images/gallery/2025-07/scaled-1680-/bfkMSFXrE5JXys2h-image-1752808156145.png)](https://iovhm.com/book/uploads/images/gallery/2025-07/bfkMSFXrE5JXys2h-image-1752808156145.png)


**查询spring-framework.version字段，如果不凑巧这个版本没有安全版本，则只能继续查询更高版本直到找到springframework的安全版本**


[![](https://iovhm.com/book/uploads/images/gallery/2025-07/scaled-1680-/ElYZkp54UV6PCAi2-image-1752808652788.png)](https://iovhm.com/book/uploads/images/gallery/2025-07/ElYZkp54UV6PCAi2-image-1752808652788.png)