springboot&&springframework&&springcloud之间的对照关系&&漏洞修复

漏洞修复顺序

• springframework
• springboot
• springcloud
• 引用频次最高的组件，例如hutool工具包
• 其他包，如果如果包无最新版，可以把代码抠出来或者更换组件

spring三大框架组件之间的关系

• springframework版本发布页：https://spring.io/projects/spring-framework#learn

• springboot版本发布页：https://spring.io/projects/spring-boot#learn

• springcloud版本发布页：https://spring.io/projects/spring-cloud#learn

springcloud（微服务增强） -> springboot（web增强） -> springframework(java增强)

首先确定无安全漏洞的springframework版本

单纯的升级springboot、springcloud无法有效解决安全问题

根据 spring 三大框架(组件)之间的关系，出安全问题的通常是springframework的单个组件，例如spring-web。要先确定当前项目的springframework的无漏洞版本、如果当前版本已经停止维护则需要看下一个版本或者更新的版本，正常情况下最新的版本没有安全问题、安全漏洞解能得到最快的解决。

中心仓库spring-web安全查询（需要登陆），也可以在这个仓库查询其他包的安全情况：https://ossindex.sonatype.org/component/pkg:maven/org.springframework/spring-web

• 小版本升级：根据springboot绑定的springframework的大版本，查找小版本是否有无漏洞版本，然后升级到这个无漏洞小版本，如果本大版本下没有无漏洞版，则只能进行大版本升级
• 大版本升级：根据无漏洞版本的springframework匹配springboot版本，升级到对应的版本。
• 直接升级到最新版本

保持版本持续更新、最新是解决安全问题的最有效的办法*

springboot和springframework版本绑定关系