由于Jackson数据绑定漏洞已经持续了一段时间,因此,我们的安全团队已要求我们将其从Jackson图书馆转移到Gson。我们已经成功完成了此工作,但现在我们了解到Spring本身对Jackson的运行时具有依赖性。结果,除非我们能够识别并消除这种依赖性,否则可能会要求我们完全脱离Spring。
是否有一种方法可以从Spring框架中删除对Jackson的依赖关系,如果没有,那么我们真的有危险吗?如果我们没有风险,我们如何向我们的安全团队证明这一点?
答案 0 :(得分:1)
与其他任何软件一样,您应该使用最新的安全性修复程序升级库Jackson 2.9.8 released
通常,建议升级:此修补程序版本包含多个与安全相关的修复程序,因此强烈建议升级。
有关更多信息,请参见release notes。