Update dependencies by security issues #31
Conversation
Sincroniza cambios desde el proyecto base
Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Update version in pom.xml
Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Separa la version del artefacto como propiedad
Se baja la version a java 8. Signed-off-by: bsalcedo <brsp_996@hotmail.com>
Modifica version de java
|
Buen día @Bsalcedo ; gracias por tu contribución; estaré realizando un review y te dejo algunos comentarios. |
| <name>joko-utils</name> | ||
| <url>http://maven.apache.org</url> | ||
|
|
||
| <properties> | ||
| <java.version>11</java.version> | ||
| <joko.utils.version>0.6.15</joko.utils.version> |
There was a problem hiding this comment.
Este salto 7 números de minor version ¿a qué se debe? ¿es algo de tu fork? ¿podrías explicar el motivo?
| <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> | ||
| <maven.compiler.source>11</maven.compiler.source> | ||
| <maven.compiler.target>11</maven.compiler.target> | ||
| <maven.compiler.source>1.8</maven.compiler.source> |
There was a problem hiding this comment.
El proyecto fue migrado a Java 11 ya hace tiempo. No podemos hacer un downgrade en la versión de Java, si bien entendemos que se podría ejecutar con Java 8; la versión upstream a la fecha de los proyectos que dependen del joko-utils debe ser Java 11.
| <commons-beanutils.version>1.9.4</commons-beanutils.version> | ||
| <commons-lang3.version>3.11</commons-lang3.version> | ||
| <commons-io.version>2.8.0</commons-io.version> | ||
| <joda-time.version>2.10.6</joda-time.version> | ||
| <pdfbox.version>2.0.24</pdfbox.version> | ||
| <pdfbox.version>3.0.0</pdfbox.version> |
There was a problem hiding this comment.
En general, como regla para mantener la estabilidad para proyectos en producción; el aumento de un major version hacemos sólo en caso de que se haya dejado de mantener la versión 2.x o se requiera específicamente una funcionalidad de la nueva versión. En este caso según veo salió la versión 2.0.30 en noviembre 2023. La recomendación es mantener en la 2.x a menos que haya una justificación para forzar el update al nuevo major version.
| @@ -88,7 +89,7 @@ public static File fromList(List<List> data, String destination, String user) th | |||
| float yPosition = baseTable.draw() - 20; | |||
| float leftMargin = 50; | |||
| float titleFontSize = 8; | |||
| PDFont font = PDType1Font.HELVETICA; | |||
| PDFont font = new PDType1Font(Standard14Fonts.FontName.HELVETICA); | |||
There was a problem hiding this comment.
Esto sería bueno tenerlo como una configuración externalizable. Al cambiar el tipo de fuente; los proyectos que usan joko-utils para generar reportes en PDF se verán afectados. La recomendación es que las customizaciones de estilo o preferencias particulares, se hagan de manera externa.
| <orika-core.version>1.5.4</orika-core.version> | ||
| <dependency-check.version>8.4.0</dependency-check.version> | ||
| <junit.version>4.13.1</junit.version> | ||
| <spring-beans.version>5.3.24</spring-beans.version> | ||
| <commons-codec.version>1.15</commons-codec.version> | ||
| <boxable.version>1.6</boxable.version> | ||
| <poi-ooxml.version>4.1.2</poi-ooxml.version> | ||
| <opencsv.version>5.7.1</opencsv.version> | ||
| <poi-ooxml.version>5.2.5</poi-ooxml.version> |
There was a problem hiding this comment.
En este caso sí la versión 4.x dejó de producirse en el 2020; si bien a la fecha no tiene vulnerabilidades graves de seguridad, vale la pena analizar el impacto para planear este upgrade.
No description provided.