fix: 移除未使用的 spring-boot-starter-actuator 依赖 (CVE-2026-22733)

actuator 依赖在本项目中未被任何业务代码使用（全仓库 grep 零命中 org.springframework.boot.actuate.*，无自定义 @Endpoint / HealthIndicator / InfoContributor），仅默认暴露 /actuator/health。项目系统监控信息由 OSHI 实现，不依赖 actuator。移除此依赖以降低攻击面并规避 CVE-2026-22733。如未来确需使用 actuator，应同时配置 management.endpoints.web.exposure.include 白名单，避免默认暴露超出预期的端点。
1 month ago · 2d6d1cfa5f
parent bcd55a6144
commit 2d6d1cfa5f
1 changed files with 5 additions and 1 deletions
--- a/pom.xml
+++ b/pom.xml
@ -220,11 +220,15 @@
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
-        <!-- actuator 端点监控 -->
+
+
+        <!-- 修复 CVE-2026-22733 移除 actuator（项目系统监控使用 OSHI 实现，不依赖此组件） -->
+        <!--
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
+        -->

        <dependency>
            <groupId>org.springframework.boot</groupId>