メイン コンテンツをスキップする

CVEレポートで検出されていない依存項目の割合

ビルド中に生成が可能である修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。

詳細は、Mavenの公式ドキュメンテーション (英語のみ)をご参照ください。

次の表は、未検出であるTalendコンポーネントの依存項目の割合をリリースごとにまとめたものです。

バージョン 検出されていないTalendコンポーネントの依存項目の割合
7.3.1 61%
7.3.1最新バージョン 43%
8.0.1 39%
8.0.1 R2023-03 22%
8.0.1 R2023-12 2%

未検出であるTalendコンポーネントの依存項目のパーセンテージを計算するためには、(重複を除いた)一意のTalendコンポーネント依存項目の総数を(重複を除いた)一意のGAVの総数で割ります。

たとえばR2023-12リリースの場合は: 一意のorg.talend.librariesの数 = 一意のGAVの数である93 = 4061パーセント(93÷4061) = 2%

これはつまり、最初の8.0.1バージョンではmvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVEコマンドがコンポーネントの全依存項目の39%を検出していないことを意味します。それに対し、バージョンR2023-12でのこの割合は2%となっています。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。