Muszę w jednym mikroserwisie podbić wersję springa dokładnie spring-core:5.3.5. W projekcie jest używany również spring-boot.
Powodem tej zmiany są podatności, proces ci/cd u nas odrzuca tę bibliotekę więc nie można zbudować artefaktu. Problem w tym,
że podbicie tej biblioteki lub nawet całego spring-boot'a nie jest takie proste ze względu na brak kompatybilności wstecz.
Po uruchomieniu aplikacji wywala błędami, że jakaś tam biblioteka X nie może znależć klasy Y i inne tego typu błędy.
Ciężko w tym momencie zlokalizować gdzie jest problem i dostosować kod/konfigurację bo pierwsze co widzimy to jakieś błędy gdzieś głęboko w bibliotece
czy tam framework'u. W jaki sposób podchodzicie do takiego tematu? Może macie sprawdzone sposoby/procedury jak postępować w takim przypadku?
0
1
Rozwiązać te "jakieś błędy" którymi aplikacja sypie ewentualnie zostawić starą wersję springa i excludować zależność o którą się czepia wasz whitesource.
2
Zwykle mozolnie łatam błąd za błędem bazując na dość dobrej intuicji co do magii.
A na koniec po dniu/kilku dniach morderczej pracy okazuje się, że większość (jak nie wszystkie) z tych problemów były opisane w jakimś migration guide na stronach frameworku.
Z drugiej strony nie wiadomo co by się stało, gdyby zacząć od tego migration guide - nigdy tego nie próbowano.
1
Zaglądając do Maven Central spring-core i Maven Central spring-boot
Powinieneś:
- Podbić wersję spring-boot do 2.7.10 (najnowsza wersja spring boot 2). Powinno być to kompatybilne wstecz. Podbije Ci to wersję spring-core do najnowszej 5.3.26 nieposiadającej znanych podatności
- Zaplanować aktualizację spring-boot 2 do spring-boot 3 (obecnie 3.0.5). Na podstawie Migration guide.
- Rozważyć migrację ze spring-boot do normalności tj. ktor, javalin, helidon etc.