Уязвимость пришла из зависимости, которую вы не добавляли: ловим дыры в Spring до прода в GitLab

В статье разбираем на боевом примере (Spring Boot 4.1, Java 21, GitLab 19.1), как поймать уязвимую зависимость в merge request — до прода, не уронив пайплайн. Подключаем SBOM‑сканер нового поколения, включаем reachability, чтобы отсеять весь шум, и ставим security‑гейт, который реагирует, только на уязвимости, которые несет в себе конкретный MR.

https://habr.com/ru/companies/otus/articles/1047050/

#безопасность_зависимостей #транзитивные_зависимости #GitLab_CI #Dependency_Scanning #Spring_Boot #Maven #SBOM #уязвимости_CVE #supply_chain_security