Olá, Mauricio! Bom dia, tudo bem?
Respondendo às suas perguntas:
a) Sim, para qualquer dependência que você utilize, se estiver usando um gerenciador de dependências (como Maven ou Gradle), o ideal é tratar da mesma forma que foi feito com a dependência jackson-databind. Ou seja, garantir que a versão utilizada está atualizada e corrigida para evitar vulnerabilidades ou incompatibilidades.
b) Exatamente, o motivo principal dessas atenções costuma estar relacionado ao uso do Spring, porque ele traz várias dependências transitivas automaticamente, e por isso é importante gerenciar bem essas versões para evitar conflitos ou problemas de segurança.
c) É possível usar Spring sem um gerenciador de dependências, mas isso não é comum nem recomendado. Sem um gerenciador, você teria que baixar manualmente todos os arquivos JAR necessários e controlar suas versões sozinho, o que é trabalhoso e propenso a erros.
Se quiser, posso ajudar a detalhar mais algum ponto!