Erkennen der behobenen Schwachstellen (CVEs) von Artefakten bei der Generierung
Wenn Sie für die Generierung von Artefakten in umfangreichen Projekten auf die kontinuierliche Integration (CI) zurückgreifen, möchten Sie vielleicht ermitteln, auf welche von CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken) betroffenen Artefakte (Standard-Jobs, Big Data-Jobs, Routen) seit der Veröffentlichung des letzten Updates von Studio Talend ein entsprechender Fix angewendet wurde.
- Die Option zur Erkennung behobener CVEs und zu deren Aufzeichnung in einer Datei ist ab Version 8.0.3 von org.talend.ci:builder-maven-plugin verfügbar (verfügbar mit R2022-03). Die Erkennung behobener CVEs für Routen-Artefakte wird ab R2022-05 unterstützt.
- Diese Option soll Benutzern dabei helfen, diejenigen CVEs zu identifizieren, die mithilfe eines Studio Talend-Upgrades behoben werden können. Sie dient keinesfalls als Ersatz für ein Drittanbieter-Tool zur Identifizierung von Schwachstellen in Studio Talend-Jobbibliotheken.
Aufgrund technischer Beschränkungen:
- Die CVEs für die von Studio Talend, jedoch von keiner Komponenten verwendeten JARs können nicht erfasst werden.
- Die CVEs für die als OSGI Bundle oder Microservice im Bericht generierte Artefakte sind nicht korrekt.
Generieren von CVE-Berichten
Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste von Artefakten mit CVEs. Dieser Befehl kann vor oder nach der Generierung der POM-Dateien Ihrer Projektartefakte ausgeführt werden.
# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xmlDadurch wird ein Bericht namens cvereport.csv im CI-Arbeitsbereich erstellt. Dieser Bericht enthält alle CVEs, die die Artefakte Ihres bestehenden Projekts betreffen und mit dem letzten Update von Studio Talend behoben wurden:
Analysieren von CVE-Berichten
Die folgende Tabelle enthält Details zu den Spalten der generierten CVE-Berichte (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).
| Spaltenname | Definition |
|---|---|
| Status | Mögliche Werte:
|
| Fix Version (Version mit Fix) | Die Update-Version nach dem CVE-Fix. Beispiel: R2022-03 |
| Project name (Projektname) | Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: CI_PROJECT |
| Item type (Elementtyp) | Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: PROCESS |
| Item ID (Element-ID) | Kennung des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: _GXOmQFizEeiOq-rLS_Z-8g |
| Item Name (Elementname) | Anzeigename des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Beispiel: MyVeryComplexJob |
| GAV with CVE (GAV mit CVE) | Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit nicht behobenen Schwachstellen (CVE). Beispiel: org.apache.logging.log4j:log4j-core:2.13.2 |
| GAV with CVE mitigated (GAV mit eliminierten CVE) | Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit behobenen Schwachstellen (CVE). Beispiel: org.apache.logging.log4j:log4j-core:2.17.1 |
| UsedByTalendComponent | Mögliche Werte:
|
| CVE-ID | Kennung der CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Wenn nicht verfügbar, erhalten Sie CVE-NOT_DISCLOSED. Beispiel: CVE-2021-44228 |
| CVSS | Der CVSS-Score (Common Vulnerability Scoring System) für die Bewertung des Schweregrads von Sicherheitslücken in Software. Der Score kann einen Wert zwischen 0,0 und 10,0 annehmen, wobei 10,0 dem höchsten Schweregrad entspricht. Weitere Informationen zu CVSS finden Sie unter „https://nvd.nist.gov/vuln-metrics/cvss“. |
| Component Names (Komponentennamen) | Name der von CVEs betroffenen Komponente (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Dabei kann es sich um den für die Codegenerierung verwendeten technischen Namen handeln, oder um den Namen studio, wenn Studio Talend insgesamt betroffen ist. |
| Comment (Kommentar) | Zusätzliche Kommentare. |
Angabe der für die Generierung der CVE-Liste zu verwendenden Studio Talend-Update-Version
Bei der Generierung Ihres CVE-Berichts können Sie den Parameter fromVersion verwenden, um auf das Studio Talend-Update zu verweisen, ab dem der Vergleich und die Generierung des CVE-Berichts ausgeführt werden sollen.
InformationshinweisAnmerkung: Da die Option zur Erkennung der behobenen CVEs ab Version R2022-03 verfügbar ist, enthält das R2022-03-Update alle seit der Veröffentlichung von Studio Talend Version 8.0.1 behobenen CVEs.
Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste der ab Version R2022-05 erkannten behobenen CVEs:
# To generate a report file listing all fixed CVEs detected from R2022-05
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE
-Dgeneration.type=local
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-05
-DfromVersion=R2022-05
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xmlHat diese Seite Ihnen geholfen?
Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!