之前公司项目基于 jdk8 和 springboot2 开发。现在一个新项目,关于物联网方面的(mysql8 、tdengine 、netty 、kafk 、redis 、nginx 等这种),还在设计阶段,提出后期会涉及到等保三级测评。
好像一些技术组件新版本(还不确定本项目的相关组件新版本是否支持 jdk1.8 ),越来越多的不支持 jdk8 了,这种情况下,想向了解等保的请教一下。
1.复用之前的项目,依旧统一采用 jdk1.8 和原框架代码,部分组件使用旧版本,是否会被等保检测出来,遇到漏洞问题?打补丁修改是否麻烦及能解决等保问题?
2.统一采用 jdk11 版本,jdk 版本升级会带来多少影响?只为解决等保测评的漏洞问题,推荐升级版本吗?
3.统一采用 jdk17 版本,跨度太大,是否不应该选择?
好像一些技术组件新版本(还不确定本项目的相关组件新版本是否支持 jdk1.8 ),越来越多的不支持 jdk8 了,这种情况下,想向了解等保的请教一下。
1.复用之前的项目,依旧统一采用 jdk1.8 和原框架代码,部分组件使用旧版本,是否会被等保检测出来,遇到漏洞问题?打补丁修改是否麻烦及能解决等保问题?
2.统一采用 jdk11 版本,jdk 版本升级会带来多少影响?只为解决等保测评的漏洞问题,推荐升级版本吗?
3.统一采用 jdk17 版本,跨度太大,是否不应该选择?
第 1 条附言 · 16 天前
综合一下大家建议,不处理了。
 |
1
bjfane 16 天前
springboot2 停止维护了,只有商业支持,有 CVE 漏洞,理论上有问题。
|
 |
3
000sitereg 16 天前
不用犹豫 直接最新的 起码保底也是 17+3
|
 |
4
asmoker 16 天前
一般扫不出来。🤨
|
 |
6
wxw752 16 天前
jdk8 的项目,上个月刚过了三级等保。不升级是没有问题的
|
 |
7
Huelse 16 天前
看你是什么等保级别了,普通的不用动,严格的会有硬性规定
|
 |
8
kokutou 16 天前
会扫出来的...直接服务器上全盘扫你的文件...
给时间给人 就以后发现了慢慢改呗 不给时间不给人 那直接拉到最新 慢慢开发 |
 |
10
cheng6563 16 天前
JDK 升级没多大影响,可能会少个内置包,Maven 加个依赖补上就行了。
SpringBoot 升级影响巨大,尤其是 SpringBoot3 就是一坨,从 JavaEE 改成了 Jakarta EE ,破坏性巨大,感觉要凉了。 |
 |
13
Mogugugugu 16 天前
等保,一般问题不大,做过很多等保的项目,等保三级从来没有因为 JDK 出过问题。
|
 |
15
wuzhu OP @Mogugugugu 怕的是,这两年好像有些新版本不支持 jdk8 ,旧版本有漏洞问题。对这块不清楚,所以请教一下
|
 |
16
967182 16 天前
spring 、log4j 、fastjson 等包的版本, 密码等敏感数据加密存储,加密传输,用国密干。权限设计 三权分立,等等。。。。。。功能权限,数据权限。是否可越权。
|
 |
17
ychost 16 天前
升级到 SpringBoot3 + JDK21 吧,这个升级比较简单的一般没太大问题,除非依赖不兼容 SpringBoot3
|
 |
18
soulflysimple123 16 天前
升级 SpringBoot3 很多配置要改,还有 javaee,swagger 的注解也要改
|
 |
19
yeqizhang 16 天前 via Android
看怎么扫了,有些都能扫出压缩包里的,感觉去掉依赖包版本名字才能躲过
|
 |
20
yulgang 16 天前
花钱就行,有些公司可能只是问问各种组件的版本,都不登录验证,也不会扫描。
 |
 |
21
shangfabao 16 天前
我们也用的 jdk8,还是比较老的那种,过了等保 3 级,相对于你的开发组件,系统漏洞比这个多
|
 |
22
kkk1234567 16 天前
三级等保,测 web 层、主机层的漏洞,你前面做好防护就行的。
|
 |
23
EarthChild 16 天前
水利项目?
|
 |
24
psh2129 16 天前
我们最近也在做等保相关的准备,顺便分享下:我老婆的公司专门做等保测评这块,可以协助评估/整改,有需要可以私信我交流下~
|
 |
25
dabao 16 天前
以不变应万变,测出来再修
|
 |
26
programApe 16 天前
有几个政府项目,spring boot1.x + jdk8 等保评测的问题大多是数据访问越权喝脱敏之类的东西,我之前提议说升级一下依赖啥的不然过不了等保,结果小丑竟是我自己。
|
 |
27
poopoopoopoo 16 天前
做过几十次三级等保 不升级没问题
|
 |
28
GTim 16 天前
去年的项目,Java17 + SpringBoot2
|
 |
29
Liftman 16 天前
漏扫如果无漏洞,就无所谓,没人管,如果有漏洞,可以以干扰业务,无法修复为理由,关联风险
|
 |
30
xausky 16 天前
java8 的项目能过等保三级,不过为了真的安全和性能考虑能升就升了吧
|
 |
31
duanzhanling 16 天前
几个严重的漏洞修复下就行了
|
 |
32
VoiceEXONE 16 天前 via iPhone
物联网 移动端架构怎么布局的呢?小程序 or App ?
|
 |
33
18500592934 15 天前
@cheng6563 我们到现在还没有用 3 ,是不是已经落后了? 这玩意升级影响太大了!估计升级搞个一年半载的,项目也就黄了。
|
|
34
cheng6563 7 天前
@18500592934 一堆破坏性更新,升个屁。
|
Select Language