Безопасно ли обновлять Spring до последней версии патча?

Question

Я работаю в проекте, где используются Spring Framework v4.3.12 и Spring Security v4.2.3 .

Безопасно ли обновляться до последней версии патча?

⋅ Spring Framework 4.3.25

⋅ Spring Security 4.2.13

Если бы я не знал лучше, я бы сказал, что с точки зрения семантической версии это не должно быть проблемой. Теоретически. Однако я собираюсь обновить портальное решение до следующей версии патча, но все приложение не работает.

Answer 1

Версии исправлений совместимы, см. Справочник по безопасности Spring :

2.3 Нумерация версий

Полезно понять, как SpringНомера релизов безопасности работают, так как они помогут вам определить усилия (или их отсутствие), связанные с переходом на будущие выпуски проекта. В каждом выпуске используется стандартная тройка целых чисел: MAJOR.MINOR.PATCH. Намерение состоит в том, что ОСНОВНЫЕ версии - несовместимые, масштабные обновления API. Версии MINOR должны в значительной степени сохранять исходную и двоичную совместимость со старшими минорными версиями, хотя возможны некоторые изменения в дизайне и несовместимые обновления. Уровень PATCH должен быть полностью совместим как вперед, так и назад, за исключением возможных изменений, направленных на исправление ошибок и дефектов.

Степень влияния изменений на вас будет зависеть от того, насколько тесно интегрирован ваш код. Если вы делаете большую настройку, на вас это больше повлияет, чем на простую конфигурацию пространства имен.

Перед развертыванием новой версии вы всегда должны тщательно тестировать свое приложение.

Для обработки зависимостей Spring Framework вы можете использовать спецификацию Spring Framework, см. Справочник по безопасности Spring :

Bom Framework Framework

Spring Security собирается на основе Spring Framework 4.3.9.RELEASE, но должна работать с 4.0.x. Проблема, с которой сталкиваются многие пользователи, заключается в том, что переходные зависимости Spring Security разрешают Spring Framework 4.3.9.RELEASE, что может вызвать странные проблемы с classpath.

Один (утомительный) способ обойти эту проблему - включить все SpringКаркас модулей в разделе вашего пом. Альтернативный подход - включить spring-framework-bom в ваш <dependencyManagement> раздел вашего pom.xml, как показано ниже:

pom.xml.

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-framework-bom</artifactId>
      <version>4.3.9.RELEASE</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>

Это обеспечит использование всеми переходными зависимостями Spring Security модулей Spring 4.3.9.RELEASE.