Apache ServiceComb Java Chassis 中 netty-tcnative-boringssl-static 依赖的安全问题分析

Apache ServiceComb Java Chassis 是一个微服务框架，在其开发过程中发现了一个与 netty-tcnative-boringssl-static 依赖相关的安全问题。这个依赖是 Netty 项目提供的用于支持 BoringSSL 的静态链接库。

该依赖被发现存在多个安全缺陷，包括 CVE-2022-28331、CVE-2017-12613 和 CVE-2023-49582。这些缺陷可能影响系统的安全性，因此开发团队需要认真对待。

经过深入分析，开发团队发现即使升级到当前最高版本 2.0.66.Final，问题仍然存在，因为该版本仍然使用了 2.0.65 的 Windows DLL 文件。这表明简单的版本升级并不能完全解决问题。

值得注意的是，在 foundation-ssl 项目中实际上并未使用 netty-tcnative-boringssl-static 依赖。基于这一发现和前述的安全考虑，开发团队决定从项目中完全移除这个依赖项，以彻底消除潜在的安全风险。

对于使用 ServiceComb Java Chassis 的开发者来说，这一变更意味着：

1. 项目将不再依赖于可能存在安全问题的 netty-tcnative-boringssl-static
2. 系统安全性将得到提升
3. 需要检查自己的应用是否确实需要这个依赖提供的功能

这一决策体现了开发团队对安全问题的重视，也展示了开源社区通过持续审查和改进来保障软件质量的良好实践。