Erkennen der behobenen Schwachstellen (CVEs) von Artefakten bei der Generierung - Cloud - 8.0

Handbuch mit Best Practices für Talend Software Development Life Cycle
Version
Cloud
8.0
Language
Deutsch
Product
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Administration Center
Talend Artifact Repository
Talend Cloud Management Console
Talend CommandLine
Talend JobServer
Talend Remote Engine
Talend Studio
Content
Administration und Überwachung
Design und Entwicklung
Implementierung
Last publication date
2023-09-14

Wenn Sie für die Generierung von Artefakten in umfangreichen Projekten auf die kontinuierliche Integration (CI) zurückgreifen, möchten Sie vielleicht ermitteln, auf welche von CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken) betroffenen Artefakte (Standard-Jobs, Big Data-Jobs, Routen) seit der Veröffentlichung des letzten Updates von Talend Studio ein entsprechender Fix angewendet wurde.

Anmerkung: Die Option zur Erkennung behobener CVEs und zu deren Aufzeichnung in einer Datei ist ab Version 8.0.3 von org.talend.ci:builder-maven-plugin verfügbar (verfügbar mit R2022-03). Die Erkennung behobener CVEs für Routen-Artefakte wird ab R2022-05 unterstützt.

Aufgrund technischer Beschränkungen:

  • Die CVEs für die JARs mit den Talend-spezifischen Gruppen-IDs org.talend.libraries können nicht erfasst werden.
  • Die CVEs für die von Talend Studio, jedoch von keiner Komponenten verwendeten JARs können nicht erfasst werden.
  • Die CVEs für die als OSGI Bundle oder Microservice im Bericht generierte Artefakte sind nicht korrekt.

Generieren von CVE-Berichten

Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste von Artefakten mit CVEs. Dieser Befehl kann vor oder nach der Generierung der POM-Dateien Ihrer Projektartefakte ausgeführt werden.

# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE 
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml
Dadurch wird ein Bericht namens cvereport.csv im CI-Arbeitsbereich erstellt. Dieser Bericht enthält alle CVEs, die die Artefakte Ihres bestehenden Projekts betreffen und mit dem letzten Update von Talend Studio behoben wurden:

Analysieren von CVE-Berichten

Die folgende Tabelle enthält Details zu den Spalten der generierten CVE-Berichte (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).
Spaltenname Definition
Status Mögliche Werte:
  • Upgraded (Aktualisiert): Die Schwachstelle wurde durch Aktualisierung der Bibliothek auf eine neue Version behoben.
  • Removed (Entfernt): Die Schwachstelle wurde durch Entfernen der Bibliothek aus der Komponente / der Distribution / den Studio-Plug-In-Abhängigkeiten behoben.
Fix Version (Version mit Fix) Die Update-Version nach dem CVE-Fix.

Beispiel: R2022-03
Project name (Projektname) Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: CI_PROJECT
Item type (Elementtyp) Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: PROCESS
Item ID (Element-ID) Kennung des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: _GXOmQFizEeiOq-rLS_Z-8g
Item Name (Elementname) Anzeigename des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: MyVeryComplexJob
GAV with CVE (GAV mit CVE) Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit nicht behobenen Schwachstellen (CVE).

Beispiel: org.apache.logging.log4j:log4j-core:2.13.2
GAV with CVE mitigated (GAV mit eliminierten CVE) Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit behobenen Schwachstellen (CVE).

Beispiel: org.apache.logging.log4j:log4j-core:2.17.1
UsedByTalendComponent Mögliche Werte:
  • True: GAV mit CVE behoben in den aufgeführten Komponenten, jedoch nach wie vor von Talend Studio an anderen Stellen verwendet.
  • False: GAV mit CVE vollständig aus den Talend Studio-Komponentenabhängigkeiten entfernt.
CVE-ID Kennung der CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Wenn nicht verfügbar, erhalten Sie CVE-NOT_DISCLOSED.

Beispiel: CVE-2021-44228
CVSS Der CVSS-Score (Common Vulnerability Scoring System) für die Bewertung des Schweregrads von Sicherheitslücken in Software. Der Score kann einen Wert zwischen 0,0 und 10,0 annehmen, wobei 10,0 dem höchsten Schweregrad entspricht. Weitere Informationen zu CVSS finden Sie unter „https://nvd.nist.gov/vuln-metrics/cvss“.
Component Names (Komponentennamen) Name der von CVEs betroffenen Komponente (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Dabei kann es sich um den für die Codegenerierung verwendeten technischen Namen handeln, oder um den Namen studio, wenn Talend Studio insgesamt betroffen ist.
Comment (Kommentar) Zusätzliche Kommentare.

Angabe der für die Generierung der CVE-Liste zu verwendenden Studio-Update-Version

Bei der Generierung Ihres CVE-Berichts können Sie den Parameter fromVersion verwenden, um auf das Studio-Update zu verweisen, ab dem der Vergleich und die Generierung des CVE-Berichts ausgeführt werden sollen.
Anmerkung: Da die Option zur Erkennung der behobenen CVEs ab Version R2022-03 verfügbar ist, enthält das R2022-03-Update alle seit der Veröffentlichung von Talend Studio Version 8.0.1 behobenen CVEs.

Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste der ab Version R2022-05 erkannten behobenen CVEs: 

# To generate a report file listing all fixed CVEs detected from R2022-05
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE 
-Dgeneration.type=local
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-05
-DfromVersion=R2022-05
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml