这是一个创建于 275 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前公司项目基于 jdk8 和 springboot2 开发。现在一个新项目,关于物联网方面的(mysql8 、tdengine 、netty 、kafk 、redis 、nginx 等这种),还在设计阶段,提出后期会涉及到等保三级测评。
好像一些技术组件新版本(还不确定本项目的相关组件新版本是否支持 jdk1.8 ),越来越多的不支持 jdk8 了,这种情况下,想向了解等保的请教一下。
1.复用之前的项目,依旧统一采用 jdk1.8 和原框架代码,部分组件使用旧版本,是否会被等保检测出来,遇到漏洞问题?打补丁修改是否麻烦及能解决等保问题?
2.统一采用 jdk11 版本,jdk 版本升级会带来多少影响?只为解决等保测评的漏洞问题,推荐升级本吗?
3.统一采用 jdk17 版本,跨度太大,是否不应该选择?
好像一些技术组件新版本(还不确定本项目的相关组件新版本是否支持 jdk1.8 ),越来越多的不支持 jdk8 了,这种情况下,想向了解等保的请教一下。
1.复用之前的项目,依旧统一采用 jdk1.8 和原框架代码,部分组件使用旧版本,是否会被等保检测出来,遇到漏洞问题?打补丁修改是否麻烦及能解决等保问题?
2.统一采用 jdk11 版本,jdk 版本升级会带来多少影响?只为解决等保测评的漏洞问题,推荐升级本吗?
3.统一采用 jdk17 版本,跨度太大,是否不应该选择?
第 1 条附言 275 天前
综合一下大家建议,不处理了。
 | 1 bjfane PRO springboot2 停止维护了,只有商业支持,有 CVE 漏洞,理论上有问题。 |
 | 3 000sitereg 275 天前 不用犹豫 直接最新的 起码保底也是 17+3 |
 | 4 asmoker 275 天前 一般扫不出来。 |
 | 6 rockddd 275 天前 jdk8 的项目,上个月刚过了三级等保。不升级是没有问题的 |
 | 7 Huelse 275 天前 看你是什么等保级别了,普通的不用动,严格的会有硬性规定 |
 | 8 kokutou 275 天前 会扫出来的...直接服务器上全盘扫你的文件... 给时间给人 就以后发现了慢慢改呗 不给时间不给人 那直接拉到最新 慢慢开发 |
 | 10 cheng6563 275 天前 JDK 升级没多大影响,可能会少个内置包,Maven 加个依赖补上就行了。 SpringBoot 升级影响巨大,尤其是 SpringBoot3 就是一坨,从 JavaEE 改成了 Jakarta EE ,破坏性巨大,感觉要凉了。 |
 | 13 Mogugugugu 275 天前 等保,一般问题不大,做过很多等保的项目,等保三级从来没有因为 JDK 出过问题。 |
 | 15 wuzhu OP @Mogugugugu 怕的是,这两年好像有些新版本不支持 jdk8 ,旧版本有漏洞问题。对这块不清楚,所以请教一下 |
 | 16 967182 275 天前 spring 、log4j 、fastjson 等包的版本, 密码等敏感数据加密存储,加密传输,用国密干。权限设计 三权分立,等等。。。。。。功能权限,数据权限。是否可越权。 |
 | 17 ychost 275 天前 升级到 SpringBoot3 + JDK21 吧,这个升级比较简单的一般没太大问题,除非依赖不兼容 SpringBoot3 |
 | 18 soulflysimple123 275 天前 升级 SpringBoot3 很多配置要改,还有 javaee,swagger 的注解也要改 |
 | 19 yeqizhang 275 天前 via Android 看怎么扫了,有些都能扫出压缩包里的,感觉去掉依赖包版本名字才能躲过 |
 | 20 yulgang 275 天前 花钱就行,有些公司可能只是问问各种组件的版本,都不登录验证,也不会扫描。  |
 | 21 shangfabao 275 天前 我们也用的 jdk8,还是比较老的那种,过了等保 3 级,相对于你的开发组件,系统漏洞比这个多 |
 | 22 kkk1234567 275 天前 三级等保,测 web 层、主机层的漏洞,你前面做好防护就行的。 |
 | 23 EarthChild 275 天前 水利项目? |
 | 24 psh2129 275 天前 我们最近也在做等保相关的准备,顺便分享下:我老婆的公司专门做等保测评这块,可以协助评估/整改,有需要可以私信我交流下~ |
 | 25 dabao 275 天前 以不变应万变,测出来再修 |
 | 26 programApe 275 天前 有几个政府项目,spring boot1.x + jdk8 等保评测的问题大多是数据访问越权喝脱敏之类的东西,我之前提议说升级一下依赖啥的不然过不了等保,结果小丑竟是我自己。 |
 | 27 poopoopoopoo 275 天前 做过几十次三级等保 不升级没问题 |
 | 28 yemoluo 275 天前 去年的项目,Java17 + SpringBoot2 |
 | 29 Liftman 275 天前 漏扫如果无漏洞,就无所谓,没人管,如果有漏洞,可以以干扰业务,无法修复为理由,关联风险 |
 | 30 irrigate2554 275 天前 java8 的项目能过等保三级,不过为了真的安全和性能考虑能升就升了吧 |
 | 31 duanzhanling 275 天前 几个严重的漏洞修复下就行了 |
 | 32 VoiceEXONE 275 天前 via iPhone 物联网 移动端架构怎么布局的呢?小程序 or App ? |
 | 33 18500592934 274 天前 @cheng6563 我们到现在还没有用 3 ,是不是已经落后了? 这玩意升级影响太大了!估计升级搞个一年半载的,项目也就黄了。 |
| 34 cheng6563 266 天前 @18500592934 一堆破坏性更新,升个屁。 |
 | 35 chenzfp 230 天前 @18500592934 没这么离谱,我升级了,一个小项目,三天搞定了,jdk1.8 先升级到 jdk17,再升级到 jdk21,然后再升级 springboot3 ,剩下的就是依赖冲突什么的解决好就 OK 了,目前运行稳定没啥问题 |
Select Language