问spring-boot依赖项和安全修复

EN

我正在以一种推荐的方式使用spring boot，即通过添加

classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")

然后添加我需要的依赖项，比如：

compile('org.springframework.boot:spring-boot-starter-web')

这种依赖关系拉出了一些预定义版本的tomcat，它将托管我的微服务。

但是，如果发布了tomcat的安全修复，会发生什么呢？spring团队是否会跟踪他们使用的所有项目中的所有安全问题，并在发布新的修复程序时升级spring-boot版本？或者我必须自己跟踪它并手动控制依赖项(如tomcat)，而不是使用“spring-boot方式”？