SSP: Update auf spring-web 6.0.0

Warum?

Update nach Gespräch mit @Michael_Miera: Die Vulnerability ist doch schon älter (Published: Jan 02, 2020). Der Grund warum sie erst jetzt in Trivy als Error durchschlägt ist vermutlich, dass erst seit kurzem ein Fix in Form des 6.0 Release von Spring verfügbar ist. Zusätzlich wird das betroffene Feature nicht genutzt.

Unser Vorschlag lautet, dieses CVE per .trivyignore vorerst zu ignorieren. Da es ohnehin fraglich ist, wie gangbar ein Update einzig der spring-web Dependency ist (sinnvoller scheint ein Update des ganzen Spring-Framework), sollten wir dazu ein Folgeticket anlegen und fürs Refinement vorsehen @Marco_Holz.

Relevante Links und Bemerkungen

Akzeptanzkriterien

  1. ...
  2. ...
  3. ...

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)

Edited by Marco Holz