Wenn Sie für die Generierung von Artefakten in umfangreichen Projekten auf die kontinuierliche Integration (CI) zurückgreifen, möchten Sie vielleicht ermitteln, auf welche von CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken) betroffenen Artefakte (Standard-Jobs, Big Data-Jobs, Routen) seit der Veröffentlichung des letzten Updates von Talend Studio ein entsprechender Fix angewendet wurde.
Aufgrund technischer Beschränkungen:
- Die CVEs für die JARs mit den Talend-spezifischen Gruppen-IDs
org.talend.libraries
können nicht erfasst werden. - Die CVEs für die von Talend Studio, jedoch von keiner Komponenten verwendeten JARs können nicht erfasst werden.
- Die CVEs für die als OSGI Bundle oder Microservice im Bericht generierte Artefakte sind nicht korrekt.
Generieren von CVE-Berichten
Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste von Artefakten mit CVEs. Dieser Befehl kann vor oder nach der Generierung der POM-Dateien Ihrer Projektartefakte ausgeführt werden.
# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml
Analysieren von CVE-Berichten
Spaltenname | Definition |
---|---|
Status | Mögliche Werte:
|
Fix Version (Version mit Fix) | Die Update-Version nach dem CVE-Fix. Beispiel: |
Project name (Projektname) | Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: |
Item type (Elementtyp) | Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: |
Item ID (Element-ID) | Kennung des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: |
Item Name (Elementname) | Anzeigename des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: |
GAV with CVE (GAV mit CVE) | Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit nicht behobenen Schwachstellen (CVE). Beispiel: |
GAV with CVE mitigated (GAV mit eliminierten CVE) | Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit behobenen Schwachstellen (CVE). Beispiel: |
UsedByTalendComponent | Mögliche Werte:
|
CVE-ID | Kennung der CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Wenn nicht verfügbar, erhalten Sie CVE-NOT_DISCLOSED .Beispiel: |
CVSS | Der CVSS-Score (Common Vulnerability Scoring System) für die Bewertung des Schweregrads von Sicherheitslücken in Software. Der Score kann einen Wert zwischen 0,0 und 10,0 annehmen, wobei 10,0 dem höchsten Schweregrad entspricht. Weitere Informationen zu CVSS finden Sie unter „https://nvd.nist.gov/vuln-metrics/cvss“. |
Component Names (Komponentennamen) | Name der von CVEs betroffenen Komponente (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Dabei kann es sich um den für die Codegenerierung verwendeten technischen Namen handeln, oder um den Namen studio , wenn Talend Studio insgesamt betroffen ist. |
Comment (Kommentar) | Zusätzliche Kommentare. |
Angabe der für die Generierung der CVE-Liste zu verwendenden Studio-Update-Version
Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste der ab Version R2022-05 erkannten behobenen CVEs:
# To generate a report file listing all fixed CVEs detected from R2022-05
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE
-Dgeneration.type=local
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-05
-DfromVersion=R2022-05
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml