Agile Coding mit Java, Kotlin, Spring und Microservices

Der Security-Scanner in eurer CI/CD-Pipeline hat eine kritische Security Vulnerability gefunden. In einer 3rd-Party-Bibliothek gibt es eine Schwachstelle. Der Scanner kennt bereits die Lösung: ein Upgrade der Bibliothek. Doch ist das wirklich immer die beste Idee? Oder gibt es Aspekte wie Wartbarkeit und Stabilität zu beachten? Security Scanner und Vulnerabilities CI/CD-Pipelines mit Code-Scannern sind essenzielle Werkzeuge in der professionellen Softwareentwicklung. In meinem Projekt nutzen wir eine GitLab CI/CD-Pipeline mit diversen Scannern. Einer davon analysiert unsere Third-Party-Bibliotheken auf Sicherheitslücken, also veraltete Abhängigkeiten mit bekannten Schwachstellen. Diese werden in einem Report aufgelistet. Für jede Schwachstelle sind detaillierte Informationen abrufbar.  Hier ein Beispiel aus einem Java-Projekt mit Spring Boot 3.4.2. Titel und Beschreibung der Vulerability bzw. des Security Problems. Severity: Kategorisiert die Kritikalität in fünf Stufen von "Inf...