Spring Boot Actuator 分析器

Spring Boot Actuator 分析器 分析 Spring Boot Actuator 配置中的安全漏洞、健康检查完整性、指标暴露和生产就绪性。审计 Actuator 端点、管理端口配置和自定义健康指标。 使用方法 "审计我的 Spring Boot Actuator 配置" "检查 Actuator 安全设置" "审查健康检查端点" "我的 Actuator 端点是否生产安全？" 工作原理

• 配置发现

# 查找应用程序属性 find . -name "application.yml" -o -name "application.yaml" -o -name "application.properties" | head -10 # 检查 Actuator 依赖 grep -r "actuator" build.gradle pom.xml 2>/dev/null # 查找自定义健康指标 grep -rn "implements HealthIndicator\|extends AbstractHealthIndicator" src/ | head -10

• 端点安全

关键检查： 哪些端点暴露在 web 上？（management.endpoints.web.exposure.include） 通配符暴露 env、beans、configprops（敏感数据！） 管理端口与应用程序端口相同（应该是单独的） 管理端点配置了身份验证 Actuator 端点的 CORS 设置 /shutdown 端点启用（远程关闭风险） 推荐的生产配置： management: endpoints: web: exposure: include: health,info,metrics,prometheus server: port: 8081 # 单独的管理端口 endpoint: health: show-details: when-authorized shutdown: enabled: false

• 健康检查

数据库连接检查存在 外部服务健康指标 自定义健康指标用于业务逻辑 健康检查组（liveness vs readiness） Kubernetes 探针集成（/actuator/health/liveness，/readiness） 健康检查超时配置

• 指标

Micrometer 注册表配置（Prometheus、Datadog、New Relic） 自定义指标用于业务 KPI JVM 指标暴露（内存、GC、线程） HTTP 请求指标（延迟、错误率） 缓存指标（如果使用 Spring Cache） 数据库池指标

• 信息端点

构建信息包含（版本、时间戳） Git 信息（提交、分支） 自定义信息贡献者 信息端点中没有暴露敏感数据 输出

Spring Boot Actuator 分析

版本： Spring Boot 3.3.0 | Actuator： 3.3.0

🔴 严重（2）

• 所有端点暴露 — application.yml management.endpoints.web.exposure.include: "*"

暴露 /env（密钥）、/beans、/configprops、/heapdump → 限制为：health,info,metrics,prometheus

• 管理在同一端口 — 没有单独的管理端口

Actuator 端点可以在公共端口 8080 上访问 → 设置 management.server.port: 8081（仅内部）

🟡 改进（3）

• 健康详细信息显示给所有人（show-details: always）→ 改为 when-authorized
• 没有外部服务的自定义健康指标
• 缺少 Kubernetes 探针端点（liveness/readiness 组）

✅ 良好实践

• 关闭 shutdown 端点
• 配置了 Prometheus 指标注册表
• Git 和构建信息在 /actuator/info 中
• 自动配置了数据库健康指标