我们有一个用Java实现的Web应用程序。它使用Maven来安装各种依赖项,例如JavaMail,Gson等。
不幸的是,部署和维护项目是一件麻烦事。我们需要知道,任何这些依赖项都可能会发出安全更新,这意味着需要定期检查新版本。更糟糕的是,我们无法看到Maven可以将安全修复程序与其他新版本区分开来。这意味着我们最终会进行不必要的更新,这是浪费时间并且可能会破坏某些内容。
服务器本身运行Ubuntu,那里的情况要好得多。 Apt安装紧急更新,但其他一切都等到下一个Ubuntu发布。这是理想的,因为它为我们提供了一个稳定但安全的平台,我们可以在此基础上构建。
有没有办法让Maven更像Apt,所以我们可以安装安全修复程序,但没有别的?如果没有,我有兴趣了解其他人用于更新已部署的Web应用程序的策略。
(我们知道maven-dependency-plugin。这个插件有帮助,因为它可以自动查找和更新任何具有更新版本的依赖项。不幸的是,它无法将安全更新与正常的功能版本区分开来,所以我们结束了当我们不严格需要时更新。)
答案 0 :(得分:0)
我确实想出了解决这个问题的部分解决方案,但它并没有直接使用Maven。我实施了一个脚本,扫描NVD database有关我们正在使用的产品的新安全风险。每天早上我都会通过电子邮件发送给我,我可以决定他们是否有理由更新我们的网络应用程序。
这种方法的缺点是较小的项目不会总是为其漏洞发布CVE编号。我们必须限制自己拥有大量供应商的产品,得到大型供应商的支持,或者之前已表示愿意参与CVE流程。