fondo
Hace algún tiempo, se puede decir que el incidente de vulnerabilidad de seguridad de log4j desencadenó una "tormenta sangrienta". Recientemente, un proyecto tiene requisitos de seguridad particularmente altos y se realizó una reparación unificada de componentes de código abierto con vulnerabilidades de seguridad. Aquí hay un resumen, espero que le sea útil para elegir la versión del componente en el futuro.
componentes de código abierto
Se recomiendan versiones de componentes de código abierto de uso común en el trabajo. Se recomienda no ser inferior a la versión recomendada, lo que puede evitar algunos agujeros de seguridad.
| coordenadas del componente | Versión recomendada | Observación |
|---|---|---|
| colecciones-comunes:colecciones-comunes | 3.2.2 | |
| com.thoughtworks.xstream:xstream | 1.4.18 | |
| com.alibaba:dubbo | 2.6.10.1 | |
| com.alibaba:fastjson | 1.2.78 | Es mejor no usar jackson en su lugar |
| log4j:log4j | 1.2.17-cloudera1 | Es mejor no usar el inicio de sesión en su lugar |
| org.slf4j:slf4j-log4j12 | 1.7.26 | Es mejor no usar el inicio de sesión en su lugar |
| marco de primavera | 5.3.13 | |
| Bota de primavera | 2.6.0 | |
| org.codehaus.jackson:jackson-mapper-asl | 1.9.13-cloudera.1 | |
| com.fasterxml.jackson.core:jackson-databind | 2.13.0 | |
| io.vertx:vertx-XXX | 3.9.7 | |
| org.apache.shiro:shiro-web org.apache.shiro:shiro-core |
1.8.0 | |
| ch.qos.logback:logback-clásico | 1.2.7 | |
| carga de archivos comunes: carga de archivos comunes | 1.3.1-jenkins-2 | |
| mysql: mysql-conector-java | 5.1.49 o 8.0.27 | |
| org.java-websocket:Java-WebSocket | 1.5.2 | |
| commons-beanutils:commons-beanutils | 1.9.4 | |
| org.apache.commons:commons-email | 1.5 | |
| org.freemarker:freemarker | 2.3.31 | |
| direccionable | 2.8.0 | |
| com.google.protobuf:protobuf-java | 3.6.1.3-2+b3 | |
| com.alibaba: druida-primavera-arranque-arranque | 1.2.8 | |
| io.netty:netty-XXX | 4.1.70 | |
| com.squareup.okhttp3:okhttp | 3.12.2 | |
| com.google.guava:guava | 31.0.1-android, 30.1.1-jre | |
| comunes-io:comunes-io | 2.11.0 | |
| commons-httpclient:commons-httpclient | 5.2-alfa1 | |
| commons-códec:commons-códec | 1.14,1.15,1.16-INSTANTÁNEA | |
| org.apache.commons:commons-lang3 | 3.4 | |
| org.apache.thrift:libthrift | 0.14.0 | |
| org.apache.poi:poi-excelente | 4.1.2 | |
| org.apache.poi:poi: | 4.1.2 | |
| org.apache.kafka:clientes-kafka | 1.0.1.3.0.0.18-4 | |
| com.itextpdf.herramienta:xmlworker | 5.5.12 | |
| org.hibernate:hibernate-validador | 6.0.20.Final | |
| org.springframework.cloud:primavera-nube-iniciador-openfeign | 2.2.10.LIBERAR | |
| org.springframework.security:spring-security-crypto | 5.4.7 | |
| org.mybatis:mybatis | 3.5.6 | |
| jquery | 3.5.0 | |
| junit:junit | 4.13.2 | |
| org.apache.rocketmq:rocketmq | 4.6.1 | |
| codemirror | 5.58.2 | |
| org.glassfish:jakarta.el | 3.0.3.jbossorg-4 | |
| org.mongodb:mongo-java-driver | 3.11.3 |
后续将不断补充,欢迎关注”浅谈架构“公众号,不定期分享干货,欢迎点赞收藏!
