イム、それは春ブート依存性とセキュリティ修正
classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")
を追加し、のような私は必要な依存関係を追加することです私のマイクロサービスをホストするtomcatの事前定義バージョン。
しかし、tomcatのセキュリティ修正がリリースされたらどうなりますか?バネチームは、使用しているすべてのプロジェクトのすべてのセキュリティ問題を追跡し、新しい修正がリリースされたときにバネブートバージョンにバンプしますか?または私は自分でそれを追跡し、 'spring-boot way'を使用する代わりに手動で(Tomcatのような)依存関係を制御する必要がありますか?
新しいバージョンのSpring Bootをリリースするたびに、管理対象依存バージョンをその依存関係の最新の適切なリリースに更新します。 Spring Bootのメンテナンスリリースにおける依存関係の新しいメジャーバージョンまたはマイナーバージョンに移行しないなど適切なことを意味します。
一般に、管理された依存関係の新しいバージョン(セキュリティ修正が含まれていても)は、新しいバージョンのSpringブートのリリースをトリガーしません。依存関係がどのように使用されているか、そしてその修正がSpringBootのユーザーのすべて、一部、またはいずれかに関連しているかどうかを正確に知ることは不可能です。
これは、セキュリティの脆弱性を自分で追跡する必要があることを意味します。脆弱性があなたに影響を与え、Springブートが管理対象バージョンをまだ更新していない場合、ビルドスクリプトでそのバージョンを簡単に上書きできます。たとえば、Gradleのを使用している場合:
ext['tomcat.version']='8.0.36'
やMaven:
<properties>
<tomcat.version>8.0.36</tomcat.version>
</properties>