java8 的 springboot 漏洞那么多，留在 java8 不升级的话如何解决这些漏洞

大都是内网系统

内网环境，服务都用 nginx 反代下，大概就这样了。

小作坊都不 care 漏不漏洞的

不处理，有漏洞但是系统还能用
处理了，漏洞没了，系统可能也没了，别说年终奖工作可能都要没了

就是个权衡利弊的事情

死猪不怕开水烫呗，你随便扫几个 zf 网站你就知道啥叫到处漏水了

springboot 版本停留在 2.7.18 不再免费升级了, 但是付费可以升级. 你也可以单独升级组件, 组件可以独立升级的, 是免费的, 比如指定版本号: implementation 'org.springframework.security:spring-security-web:5.7.14'. 我们的客户天天扫 springboot 漏洞, 最新的漏洞发布很快就让我们修复, 也是被搞的头大.

@caotian 好奇你们 sb 项目不能用最新版 9 系 tomcat 托管么？ tomcat 没漏洞 sb 有漏洞也不能被扫到吧？如果是客户通过前端访问整个项目，纯后端不暴露接口出去的话，防火墙直接给关在系统里面+nginx 最新版代理前端包不就行了么？

我们也是的，sb 的漏洞要求整改，还是客户领导下发的要求，所有漏洞必须都整改完毕才可以投产，如果不能整改需要给出无法整改的理由，哎，也是头大

有一些安全扫描是直接扫硬盘和 docker 镜像, 只要匹配到使用的包, 就报警, 不管是否暴漏端口和服务

@mylovesaber #7 一般安全扫描都是对比 jar 包的 metadata ，找对应包有没有已经公开的 CVE ，不讲你网络请求的逻辑的

@mylovesaber 漏洞扫描直接在服务器上扫的, 我们的系统是 docker 镜像部署的, 它可以直接扫到 jar 包的版本, 如果低于规则要求的版本, 就会发文件要求修复漏洞. 倒是没有要求升级 tomcat 版本, 不过 nginx 和 ssh, ssl 配置要求升级是常事. 尽量少依赖更新慢的第三方项目 jar, 比如国内一些 tools, 否则被扫出来漏洞, 要求升级官方却没更新, 可能会是灾难性的.

加运维

你都选择了错误了，还能指望什么正确的结果？

如果你是甲方，要求乙方在产品生命周期内按上级要求的安全准则做维护（哪怕准则不合理），包括但不限于所用组件停更后的自主维护或者升级到新版组件的业务代码适配。并为之支付可能是高额的费用。

如果你是乙方，在项目报价时就估算好按甲方上级要求的安全准则做维护所需的成本，并坚持原则不降价。

政府网站漏洞多了去了，你敢动啊。

jar 包文件名改一下版本号就行了。

@TanKuku 请问你目前接触到的安全扫描是怎么实施的？将扫描软件和项目放到同一个服务器上，然后直接扫硬盘文件？我目前接触到的漏洞扫描都是漏扫工具部署在节点 A ，待扫描项目放在 B 节点，AB 在同一个局域网中，所以可以通过防火墙直接屏蔽端口来实现“漏洞修复”，剩下实在无法屏蔽的端口再升级对应软件

@caotian 请问你目前接触到的安全扫描是怎么实施的？将扫描软件和待扫描项目放到同一个服务器上，然后直接扫硬盘文件？我目前接触到的漏洞扫描都是漏扫工具部署在节点 A ，待扫描项目放在 B 节点，AB 在同一个局域网中，所以可以通过防火墙直接屏蔽端口来实现“漏洞修复”，剩下实在无法屏蔽的端口再升级对应软件

@mylovesaber #17 你说的也有，也有厂商是上传源码包和编译后的包来扫描，有些是有 agent 在目标机器扫描程序包